iptables 的一个疑问

请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 2676 days ago, the information mentioned may be changed or developed.

我现在需要设置 iptables 为：允许 22 端口访问，然后禁止外网的访问+允许局域网访问，iptables 如下：

iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT tcp -- localhost/8 anywhere ACCEPT tcp -- 10.0.0.0/8 anywhere ACCEPT tcp -- 172.16.0.0/12 anywhere ACCEPT tcp -- 192.168.0.0/16 anywhere DROP tcp -- anywhere anywhere Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain DOCKER (0 references) target prot opt source destination Chain DOCKER-ISOLATION-STAGE-1 (0 references) target prot opt source destination Chain DOCKER-ISOLATION-STAGE-2 (0 references) target prot opt source destination Chain DOCKER-USER (0 references) target prot opt source destination

netstat -anp | grep wget tcp 0 0 172.23.54.173:34670 52.216.134.43:443 ESTABLISHED 7727/wget

可以看到 wget 的 source 是 172.23.54.173 的内网私有 ip，而这个私有 ip 我在 iptables 里面的ACCEPT tcp -- 172.16.0.0/12 anywhere已经覆盖了啊，为啥我无法 tcp 访问外网啊？

TCP

anywhere

opt

12 replies 2019-01-14 15:37:41 +08:00

zbinlin

Jan 13, 2019

加上

```
iptables -t filter -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
```
试试。

另外建议不要使用 rule 来禁止，而是直接设置 policy 为 DROP：

```
iptables -t filter -P INPUT DROP
```

whkvf

Jan 13, 2019 via Android

公网 ip 的话 22 就算了吧
得多少人在那里扫啊
换一个端口

sodora

Jan 13, 2019 via Android

回程被挡了

Jan 13, 2019 via iPhone

我看你的 forward 是 drop 是这里的问题吧？

leaflxh

Jan 14, 2019

172.16.0.0 与 255.240.0.0 进行与运算得到的结果是 172.10.0.0
172.23.54.173 与 255.240.0.0 进行与运算得到的结果是 172.20.0.0

leaflxh

Jan 14, 2019

然后就很尴尬的发现自己算错了....

julyclyde

Jan 14, 2019

@zbinlin -P 会坑死很多人的

zbinlin

Jan 14, 2019

@julyclyde 何出此言？

gouchaoer2

Jan 14, 2019

@zbinlin 不太敢设置默认的 policy 为 DROP，原因很简单，当你设置 policy 为 DROP 的那一瞬间外网的 tcp 流量其实都是断开的，这就意味着你必须保证先设置了允许 22 端口，如果一个不注意 iptables -F 了，那就彻底完蛋了

现在我设置 OK 了，我现在的 iptables -L 如下，我还有个问题，如果别人用 ipv6 的 ip 来访问我是不是我的防火墙就失效了呢？

```
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- localhost/8 anywhere
ACCEPT tcp -- 10.0.0.0/8 anywhere
ACCEPT tcp -- 172.16.0.0/12 anywhere
ACCEPT tcp -- 192.168.0.0/16 anywhere
DROP tcp -- anywhere anywhere
```

然后这台主机是可以连外网的

zbinlin

Jan 14, 2019

@gouchaoer2 为什么要用 `iptables -F` 呢？/汗

ipv6 有 `ip6tables` 来设置，规则差不多的。

zbinlin

Jan 14, 2019

@zbinlin 另外，即使 ssh 被挡了，不是还有 VNC 吗？

gouchaoer2

Jan 14, 2019

@zbinlin 我 netstat 看了一下，端口没有绑定 ipv6 的地址，似乎不用设置，3q

我用 php 写了一些运维脚本，这些脚本 IMAP 去读取邮件，SMTP 发送邮件，解析邮件增加 ip 白名单，然后去管理代码仓库，做一些备份管理啥的，细节挺多的，花了几天时间。。。。我现在比较满意了