Изпечатай

[DarkLordTed]

Това ми е конфигурацията на iptables в общи линии:

iptables -L -v

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

 target      prot opt  in      out      source               destination
ACCEPT    tcp   --  any    any     anywhere           anywhere            tcp dpt:www state NEW,ESTABLISHED
 DROP       all   --  any    any      anywhere           anywhere


Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)

 target      prot  opt  in     out     source               destination
ACCEPT     tcp    --  any    lo      localhost             localhost           state NEW tcp dpt:www
ACCEPT     all    --  any    any    anywhere            anywhere            state ESTABLISHED
DROP         all   --  any    any     anywhere           anywhere

Защо след като в Chain INPUT имам:

ACCEPT    tcp   --  any    any     anywhere           anywhere            tcp dpt:www state NEW,ESTABLISHED

GET 127.0.0.1/file.php не минава.

И защо като му задам да речем:

iptables -I INPUT 1 -s 127.0.0.1 -d 127.0.0.1 -p tcp --dport 80 -j ACCEPT -i lo

GET 127.0.0.1/file.php пак не минава.

Но ако му задам да няма проверка на кой порт се връзва минава?
Ударете едно рамо, че почна да ми писва!
Благодаря ви предварително!

[Acho]

Много лошо обяснена ситуация. Кое, откъде, как, защо, какво да минава ? Нищо не си казал като хората. Колега, вземи и покажи топологията на мрежата, какви машини има, кое и как искаш да достъпваш и т.н. И за какво ти е lo, луупбеците не ти трябват според мен. Ама обясни го хубаво де, да е разбираемо. И колегите веднага ще помагат. Успехи.

[b2l]

Защо бе, хубаво го е обяснил. Само че трябва да пробва с:

Код:

GET http://127.0.0.1/file.php

[Astor]

Здравей,

какво ти изкарва: iptables -t nat -S и iptables -S?

За да видиш дали някакви пакети се хващат от даденото правило пробвай с:
iptables -S -v и гледай дали се увеличават counter-ите.

За дебъг на iptables най-лесно: махаш всички правила и слагаш едно поедно това което искаш и виждаш кога спира трафика.

[DarkLordTed]

Значи пробвано е с:

GET 127.0.0.1/file.php
GET http://127.0.0.1/file.php
GET 127.0.0.1:80/file.php
GET http://127.0.0.1/file.php

и как ли още не - не ше и това си е. Като пусках правилата по отделно и стигнах до това заключение - изходящият не е проблем. Проблема е във входящият. Ако му се махне DROP-а ясно всичко минава. С counter-ите вече съм пробвал, но не се ориентирам - явно защото има и друг трафик. Странното, е че като му задам:
iptables -I INPUT 1 -s 127.0.0.1 -d 127.0.0.1 -p tcp --dport 80 -j ACCEPT -i lo
не минава - поправете ме ако греша, но според мен би трябвало като това се инсъртне на първо място да пропуска всичко от 127.0.0.1:* до 127.0.0.1:80 стига да е tcp. GET http://127.0.0.1/ би трябвало да е tcp и е от 127.0.0.1 ама не иска. И още по-странното, е че ако му махна изискването за destination port 80 минава няма проблем. Демек с iptables -I INPUT 1 -s 127.0.0.1 -d 127.0.0.1 -p tcp -j ACCEPT -i lo няма проблем. Аааа и още нещо защо първото ми правило в INPUT chain-а не хваща този трафик като е any any anywhere anywhere та трябва да му задавам второ за 127.0.0.1 127.0.0.1 -i lo?

[DarkLordTed]

Сетих се още нещо важно - в същото време ако не се обръщам локално си работи идеално.

[mystical]

Странното, е че като му задам:
iptables -I INPUT 1 -s 127.0.0.1 -d 127.0.0.1 -p tcp --dport 80 -j ACCEPT -i lo
не минава - поправете ме ако греша, но според мен би трябвало като това се инсъртне на първо място да пропуска всичко от 127.0.0.1:* до 127.0.0.1:80 стига да е tcp.

Странно но факт, ако зададеш --sport  или --dport не работи.

iptables -I INPUT 1 -s 127.0.0.1 -d 127.0.0.1 -p tcp  -j ACCEPT -i lo

Така трябва да работи.
Защо искаш да конкретизираш толкова подробно заявките то localhost? Няма смисъл.

[DarkLordTed]

Заради MySQL-а ми и той е на същият сървър, и обръщенията към него са на 127.0.0.1 иска ми се да са разделени със сигурност.