Титла: Проблем с iptables Публикувано от: DarkLordTed в Feb 21, 2012, 02:07 Това ми е конфигурацията на iptables в общи линии:
iptables -L -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) target prot opt in out source destination ACCEPT tcp -- any any anywhere anywhere tcp dpt:www state NEW,ESTABLISHED DROP all -- any any anywhere anywhere Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) target prot opt in out source destination ACCEPT tcp -- any lo localhost localhost state NEW tcp dpt:www ACCEPT all -- any any anywhere anywhere state ESTABLISHED DROP all -- any any anywhere anywhere Защо след като в Chain INPUT имам: ACCEPT tcp -- any any anywhere anywhere tcp dpt:www state NEW,ESTABLISHED GET 127.0.0.1/file.php не минава. И защо като му задам да речем: iptables -I INPUT 1 -s 127.0.0.1 -d 127.0.0.1 -p tcp --dport 80 -j ACCEPT -i lo GET 127.0.0.1/file.php пак не минава. Но ако му задам да няма проверка на кой порт се връзва минава? Ударете едно рамо, че почна да ми писва! Благодаря ви предварително! Титла: Re: Проблем с iptables Публикувано от: Acho в Feb 21, 2012, 08:47 Много лошо обяснена ситуация. Кое, откъде, как, защо, какво да минава ? Нищо не си казал като хората. Колега, вземи и покажи топологията на мрежата, какви машини има, кое и как искаш да достъпваш и т.н. И за какво ти е lo, луупбеците не ти трябват според мен. Ама обясни го хубаво де, да е разбираемо. И колегите веднага ще помагат. Успехи.
Титла: Re: Проблем с iptables Публикувано от: b2l в Feb 21, 2012, 12:39 Защо бе, хубаво го е обяснил. Само че трябва да пробва с:
Код: GET http://127.0.0.1/file.php Титла: Re: Проблем с iptables Публикувано от: Astor в Feb 21, 2012, 12:41 Здравей,
какво ти изкарва: iptables -t nat -S и iptables -S? За да видиш дали някакви пакети се хващат от даденото правило пробвай с: iptables -S -v и гледай дали се увеличават counter-ите. За дебъг на iptables най-лесно: махаш всички правила и слагаш едно поедно това което искаш и виждаш кога спира трафика. Титла: Re: Проблем с iptables Публикувано от: DarkLordTed в Feb 21, 2012, 15:09 Значи пробвано е с:
GET 127.0.0.1/file.php GET http://127.0.0.1/file.php GET 127.0.0.1:80/file.php GET http://127.0.0.1/file.php и как ли още не - не ше и това си е. Като пусках правилата по отделно и стигнах до това заключение - изходящият не е проблем. Проблема е във входящият. Ако му се махне DROP-а ясно всичко минава. С counter-ите вече съм пробвал, но не се ориентирам - явно защото има и друг трафик. Странното, е че като му задам: iptables -I INPUT 1 -s 127.0.0.1 -d 127.0.0.1 -p tcp --dport 80 -j ACCEPT -i lo не минава - поправете ме ако греша, но според мен би трябвало като това се инсъртне на първо място да пропуска всичко от 127.0.0.1:* до 127.0.0.1:80 стига да е tcp. GET http://127.0.0.1/ би трябвало да е tcp и е от 127.0.0.1 ама не иска. И още по-странното, е че ако му махна изискването за destination port 80 минава няма проблем. Демек с iptables -I INPUT 1 -s 127.0.0.1 -d 127.0.0.1 -p tcp -j ACCEPT -i lo няма проблем. Аааа и още нещо защо първото ми правило в INPUT chain-а не хваща този трафик като е any any anywhere anywhere та трябва да му задавам второ за 127.0.0.1 127.0.0.1 -i lo? Титла: Re: Проблем с iptables Публикувано от: DarkLordTed в Feb 21, 2012, 15:20 Сетих се още нещо важно - в същото време ако не се обръщам локално си работи идеално.
Титла: Re: Проблем с iptables Публикувано от: mystical в Feb 21, 2012, 20:57 Странното, е че като му задам: Странно но факт, ако зададеш --sport или --dport не работи. Цитат iptables -I INPUT 1 -s 127.0.0.1 -d 127.0.0.1 -p tcp -j ACCEPT -i loТака трябва да работи. Защо искаш да конкретизираш толкова подробно заявките то localhost? Няма смисъл. Титла: Re: Проблем с iptables Публикувано от: DarkLordTed в Feb 21, 2012, 23:11 Заради MySQL-а ми и той е на същият сървър, и обръщенията към него са на 127.0.0.1 иска ми се да са разделени със сигурност.
|