Home »

IPTABLES  

 
Nazgyl
(@nazgyl)
Эникей

Добрый день! Я новичок в этой теме, не гневайтесь если где то озвучивалось уже но я не нашел.

Просьба объяснить в чем моя ошибка или не недопонимание.

Почему при:

iptables -A OUTPUT -o eth1 -j ACCEPT 

iptables -A INPUT -i eth1 -j ACСEPT

интернет на компьютере работает, а если я прописываю так:

iptables -A OUTPUT -o eth1 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp -m tcp —dport 80 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp -m tcp —dport 443 -j ACCEPT

то не работает?

Я понимаю что в первом я разрешаю все исходящие соедененея и входящие, а во втором все исходящие и входящие по портам 80 и 443 для протоколов http и https соответственно.

Почему так не работает?

 

ОтветитьЦитата
Размещено : 26.04.2018 11:51
Zerox
(@zerox)
Honorable Member Admin

Сам фаервол стоит на том же компьютере, с которого осуществляется выход в интернет и делается проверка?

ОтветитьЦитата
Размещено : 26.04.2018 12:12
Nazgyl
(@nazgyl)
Эникей

Да это один и тот же комп

 

ОтветитьЦитата
Размещено : 26.04.2018 13:04
Zerox
(@zerox)
Honorable Member Admin

Мне не понятно, в чем может быть проблема. Чтобы работал инет, достаточно одного правила:

iptables -A OUTPUT -o eth1 -j ACCEPT

Все остальное не имеет значения. Скорее всего ошибка где-то еще. Интерфейсы перепутаны, либо еще какие-то правила есть.

ОтветитьЦитата
Размещено : 26.04.2018 13:32
Nazgyl
(@nazgyl)
Эникей

Ну вот мой полный скрипт, без за комментированного, у меня CentOS 7 .

Сетевые интерфейсы enp5s0 и lo

#!/bin/bash

export IPT="iptables"

export WAN=enp5s0

$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

$IPT -A OUTPUT -o $WAN -j ACCEPT

$IPT -A INPUT -i $WAN -m tcp -p tcp --dport 80 -j ACCEPT #http
$IPT -A INPUT -i $WAN -m tcp -p tcp --dport 443 -j ACCEPT #https

/sbin/iptables-save > /etc/sysconfig/iptables

ОтветитьЦитата
Размещено : 26.04.2018 13:41
Zerox
(@zerox)
Honorable Member Admin

В этом примере сетевой интерфейс enp5s0, а в предыдущем был eth1.

Открывается на вход два порта 80 и 443. Они нужны только если у вас на компьютере настроен веб сервер и ему нужны подключения извне. На работку самого интернета с компьютера они никак не влияют. 

ОтветитьЦитата
Размещено : 26.04.2018 14:11
Nazgyl
(@nazgyl)
Эникей

В этом примере сетевой интерфейс enp5s0, а в предыдущем был eth1.

Ну в первом я писал просто как пример, а здесь именно уже мой конфиг.

Открывается на вход два порта 80 и 443. Они нужны только если у вас на компьютере настроен веб сервер и ему нужны подключения извне. На работку самого интернета с компьютера они никак не влияют.

Да я тоже об этом думал, но вопрос почему нет интернета? Что нужно прописать чтобы работали именно протоколы http и https?

Я так понимаю что если я пропишу iptables -A INPUT -i $WAN -j ACCEPT, то это даст путь на сервер вообще всему?

ОтветитьЦитата
Размещено : 26.04.2018 15:52