这是一个创建于 3787 天前的主题,其中的信息可能已经有所发展或是发生改变。
最后一句 iptables -A INPUT -j REJECT 能把之前的规则都否定掉,无论你打开了哪个端口,除了正在连接的 22 不受影响,apt-get 都无法使用
同样的规则贴到 Debian 上却没什么问题。
同样的规则贴到 Debian 上却没什么问题。
 | 1 jimzhong 2015 年 9 月 17 日 是不是要在之前加这么一句, iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 。 |
 | 2 wezzard 2015 年 9 月 17 日 重系可以所有未被保存的都掉。 |
 | 4 suckMyballs 2015 年 9 月 17 日 /etc/init.d/iptables stop |
 | 5 nekoyaki 2015 年 9 月 17 日 @suckMyballs ubuntu 不能这么干,它不像 centos , ubuntu 的 /etc/init.d/下没有 iptables 这个脚本。 PO 主你执行 iptables -F 试一下,清空所有 iptables 规则。 |
| 6 nekoyaki 2015 年 9 月 17 日 另外我觉得 PO 主最好贴一下到底是怎样的规则…… |
 | 7 wgjak47 2015 年 9 月 17 日 如果 iptables -A INPUT -j REJECT 能把前面的规则都否定掉,那没有理由 22 还会开放啊。所以还是把 iptables -L 的结果贴出来看看。 |
 | 8 Nin OP @nekoyaki @wgjak47 -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -j REJECT --reject-with icmp-port-unreachable -A FORWARD -j ACCEPT -A OUTPUT -j ACCEPT 很简单的规则 |
| 11 nekoyaki 2015 年 9 月 17 日 规则看不出来啥问题。仔细看了一下你的问题描述,你说的是 aptget 无法用,那估计是出站包不通,你看看是不是网关或者 IP 配置得不对。 |
 | 12 adrianzhang 2015 年 9 月 17 日 dns 被屏蔽了, apt-get 得不到解析。 |
 | 13 izoabr 2015 年 9 月 17 日 多了个 chain fail2ban-ssh |
 | 14 wzxjohn 2015 年 9 月 17 日 |
| 15 Nin OP @wzxjohn 第一条是本地回环 我比较奇怪的是同样的规则在 Debian 上无任何问题还有就是 linode 的 Ubuntu 也没问题 看检测了下日志, 443 端口正常有数据接收但到了最后一条 REJECT 那又被丢弃了。。。 |
 | 17 batilo 2015 年 12 月 11 日 目前我也遇到了这个问题,楼主所说的 apt-get 无法使用是因为机器无法访问外网。 1. 如果 INPUT 默认策略为 DROP ,则所有 OUTPUT 规则失效 2. 如果添加一条 DROP 或者 REJECT 规则在 INPUT 最后,则 OUTPUT 规则失效 |
| 18 batilo 2015 年 12 月 11 日 好像找到问题所在了, 楼主你是不是和我一样也是开启了锐速这个东西? 我在关闭锐速之后, iptables 规则就能够正常使用。 通过 Google 找到了这样一篇文章: http://www.cnblogs.com/guangshan/p/4837552.html |
Select Language