我正在尝试打开一个完整的 IP 子网来连接到我的服务器,但客户每周都会遇到问题,他的 IP 更新,然后他无法再访问服务器。
我的 IP 已降至 197.245.0.0/16(即 197.245.0.1 - 197.245.255.255),尽管 IP 仍在 IP 范围内,但它们被锁定在端口 5060 和 5061 之外。这是我的公共区域的输出。 xml - 我已经为其他范围打开了特定端口,该端口工作正常,所以不确定为什么上面的端口会这样做。
客户当前的 IP 地址是 197.245.90.x,因此不应被防火墙阻止?
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="dhcpv6-client"/>
<service name="ssh"/>
<port protocol="tcp" port="443"/>
<port protocol="tcp" port="1567"/>
<port protocol="tcp" port="80"/>
<rule family="ipv4">
<source address="195.35.114.0/23"/>
<port protocol="tcp" port="5061"/>
<accept/>
</rule>
<rule family="ipv4">
<source address="195.35.114.0/23"/>
<port protocol="tcp" port="5060"/>
<accept/>
</rule>
<rule family="ipv4">
<source address="197.245.0.0/16"/>
<port protocol="tcp" port="5060"/>
<accept/>
</rule>
<rule family="ipv4">
<source address="195.35.114.0/23"/>
<port protocol="udp" port="10000-30000"/>
<accept/>
</rule>
<rule family="ipv4">
<source address="197.245.0.0/16"/>
<port protocol="udp" port="10000-30000"/>
<accept/>
</rule>
<rule family="ipv4">
<source address="197.245.0.0/16"/>
<port protocol="tcp" port="5061"/>
<accept/>
</rule>
<rule family="ipv4">
<source address="204.27.0.0/16"/>
<reject/>
</rule>
<rule family="ipv4">
<source address="89.163.0.0/16"/>
<reject/>
</rule>
</zone>
答案1
根据您发布的信息,它应该不会被阻止。
要调试iptables
将带有目标的规则插入表TRACE
中raw
:
痕迹
该目标标记数据包,以便内核在数据包遍历表、链、规则时记录与数据包匹配的每个规则。
必须加载日志记录后端(例如 ip(6)t_LOG 或 nfnetlink_log)才能使其可见。数据包使用字符串前缀进行记录:“TRACE: tablename:chainname:type:rulenum ”,其中类型可以是“rule”(对于普通规则)、“return”(对于用户定义链末尾的隐式规则)和“policy”(对于普通规则)内置链的政策。它只能在原始表中使用。
所以在你的情况下:
modprobe nfnetlink_log
iptables -t raw -I PREROUTING -s 197.245.0.0/16 -p tcp --dport 5061 -j TRACE
完成分析后,将其删除:
iptables -t raw -D PREROUTING -s 197.245.0.0/16 -p tcp --dport 5061 -j TRACE
使用iptables
命令来做到这一点,而不是firewall-*
命令。