求高手看个iptables防火墙下SSH连接不了的问题

1404383934

防火墙开启的情况下用PuTTY连接服务器，报Network error: Connection timeout的错误……

首先，之前在家里内网测试全部通过。然后今天去托管，在机房下面的办公室内测试，也是可以连接。

奇怪就奇怪在，在家里始终连接不了，不得已把iptables给stop掉，就可以连上了……

规则是写在一个脚本里，并用rc.local调用，在开机时加载。

以下是用iptables-save存储下来的规则集，求高手看下有什么地方不对，研究整整一天了，自己看不出来。

请教！！！！或者教我如何去trace或类似debug也可以……

有描述不清的地方，请指正，另外hosts.allow和deny都是空的。

1. 
   
2. # Generated by iptables-save v1.3.5 on Wed Jun 27 21:17:17 2012
   
3. *mangle
   
4. :PREROUTING ACCEPT [400:40815]
   
5. :INPUT ACCEPT [400:40815]
   
6. :FORWARD ACCEPT [0:0]
   
7. :OUTPUT ACCEPT [397:55532]
   
8. :POSTROUTING ACCEPT [397:55532]
   
9. COMMIT
   
10. # Completed on Wed Jun 27 21:17:17 2012
    
11. # Generated by iptables-save v1.3.5 on Wed Jun 27 21:17:17 2012
    
12. *nat
    
13. :PREROUTING ACCEPT [28:4357]
    
14. :POSTROUTING ACCEPT [36:2675]
    
15. :OUTPUT ACCEPT [36:2675]
    
16. COMMIT
    
17. # Completed on Wed Jun 27 21:17:17 2012
    
18. # Generated by iptables-save v1.3.5 on Wed Jun 27 21:17:17 2012
    
19. *filter
    
20. :INPUT DROP [0:0]
    
21. :FORWARD DROP [0:0]
    
22. :OUTPUT DROP [0:0]
    
23. :ACCEPTLOG - [0:0]
    
24. :DROPLOG - [0:0]
    
25. :REJECTLOG - [0:0]
    
26. :RELATED_ICMP - [0:0]
    
27. :SYN_FLOOD - [0:0]
    
28. -A INPUT -p icmp -m limit --limit 1/sec --limit-burst 2 -j ACCEPT
    
29. -A INPUT -p icmp -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "PING-DROP:"
    
30. -A INPUT -p icmp -j DROP
    
31. -A INPUT -p icmp -f -j DROPLOG
    
32. -A INPUT -p icmp -m state --state ESTABLISHED -m limit --limit 3/sec --limit-burst 8 -j ACCEPT
    
33. -A INPUT -p icmp -m state --state RELATED -m limit --limit 3/sec --limit-burst 8 -j RELATED_ICMP
    
34. -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 3/sec --limit-burst 8 -j ACCEPT
    
35. -A INPUT -p icmp -j DROPLOG
    
36. -A INPUT -i lo -j ACCEPT
    
37. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    
38. -A INPUT -p tcp -m multiport --dports 135,137,138,139,445,1433,1434 -j DROP
    
39. -A INPUT -p udp -m multiport --dports 135,137,138,139,445,1433,1434 -j DROP
    
40. -A INPUT -m state --state INVALID -j DROP
    
41. -A INPUT -p tcp -m state --state NEW -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
    
42. -A INPUT -p tcp -m state --state NEW -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
    
43. -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j SYN_FLOOD
    
44. -A INPUT -s 0.0.0.0/254.0.0.0 -j DROP
    
45. -A INPUT -s 2.0.0.0/255.0.0.0 -j DROP
    
46. -A INPUT -s 5.0.0.0/255.0.0.0 -j DROP
    
47. -A INPUT -s 7.0.0.0/255.0.0.0 -j DROP
    
48. -A INPUT -s 10.0.0.0/255.0.0.0 -j DROP
    
49. -A INPUT -s 23.0.0.0/255.0.0.0 -j DROP
    
50. -A INPUT -s 27.0.0.0/255.0.0.0 -j DROP
    
51. -A INPUT -s 31.0.0.0/255.0.0.0 -j DROP
    
52. -A INPUT -s 36.0.0.0/254.0.0.0 -j DROP
    
53. -A INPUT -s 39.0.0.0/255.0.0.0 -j DROP
    
54. -A INPUT -s 42.0.0.0/255.0.0.0 -j DROP
    
55. -A INPUT -s 49.0.0.0/255.0.0.0 -j DROP
    
56. -A INPUT -s 50.0.0.0/255.0.0.0 -j DROP
    
57. -A INPUT -s 77.0.0.0/255.0.0.0 -j DROP
    
58. -A INPUT -s 78.0.0.0/254.0.0.0 -j DROP
    
59. -A INPUT -s 92.0.0.0/252.0.0.0 -j DROP
    
60. -A INPUT -s 96.0.0.0/240.0.0.0 -j DROP
    
61. -A INPUT -s 112.0.0.0/248.0.0.0 -j DROP
    
62. -A INPUT -s 120.0.0.0/255.0.0.0 -j DROP
    
63. -A INPUT -s 169.254.0.0/255.255.0.0 -j DROP
    
64. -A INPUT -s 172.16.0.0/255.240.0.0 -j DROP
    
65. -A INPUT -s 173.0.0.0/255.0.0.0 -j DROP
    
66. -A INPUT -s 174.0.0.0/254.0.0.0 -j DROP
    
67. -A INPUT -s 176.0.0.0/248.0.0.0 -j DROP
    
68. -A INPUT -s 184.0.0.0/252.0.0.0 -j DROP
    
69. -A INPUT -s 192.0.2.0/255.255.255.0 -j DROP
    
70. -A INPUT -s 197.0.0.0/255.0.0.0 -j DROP
    
71. -A INPUT -s 198.18.0.0/255.254.0.0 -j DROP
    
72. -A INPUT -s 223.0.0.0/255.0.0.0 -j DROP
    
73. -A INPUT -s 224.0.0.0/224.0.0.0 -j DROP
    
74. -A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
    
75. -A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
    
76. -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
    
77. -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
    
78. -A INPUT -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
    
79. -A INPUT -p tcp -m state --state NEW -m tcp --dport 143 -j ACCEPT
    
80. -A INPUT -p tcp -m state --state NEW -m tcp --dport 995 -j ACCEPT
    
81. -A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
    
82. -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
    
83. -A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
    
84. -A INPUT -p tcp -m state --state NEW -m tcp --dport 50000:50030 -j ACCEPT
    
85. -A INPUT -j REJECTLOG
    
86. -A FORWARD -p icmp -f -j DROPLOG
    
87. -A FORWARD -p icmp -j DROPLOG
    
88. -A FORWARD -m state --state INVALID -j DROP
    
89. -A FORWARD -j REJECTLOG
    
90. -A OUTPUT -p icmp -j ACCEPT
    
91. -A OUTPUT -p icmp -f -j DROPLOG
    
92. -A OUTPUT -p icmp -m state --state ESTABLISHED -m limit --limit 3/sec --limit-burst 8 -j ACCEPT
    
93. -A OUTPUT -p icmp -m state --state RELATED -m limit --limit 3/sec --limit-burst 8 -j RELATED_ICMP
    
94. -A OUTPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 3/sec --limit-burst 8 -j ACCEPT
    
95. -A OUTPUT -p icmp -j DROPLOG
    
96. -A OUTPUT -o lo -j ACCEPT
    
97. -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
    
98. -A OUTPUT -m state --state INVALID -j DROP
    
99. -A OUTPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
    
100. -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
     
101. -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
     
102. -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
     
103. -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 587 -j ACCEPT
     
104. -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 995 -j ACCEPT
     
105. -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
     
106. -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
     
107. -A OUTPUT -p udp -m state --state NEW -m udp --sport 67:68 --dport 67:68 -j ACCEPT
     
108. -A OUTPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT
     
109. -A OUTPUT -j REJECTLOG
     
110. -A ACCEPTLOG -m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "ACCEPT " --log-level 7 --log-tcp-sequence --log-tcp-options --log-ip-options
     
111. -A ACCEPTLOG -j ACCEPT
     
112. -A DROPLOG -m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "DROP " --log-level 7 --log-tcp-sequence --log-tcp-options --log-ip-options
     
113. -A DROPLOG -j DROP
     
114. -A REJECTLOG -m limit --limit 3/sec --limit-burst 8 -j LOG --log-prefix "REJECT " --log-level 7 --log-tcp-sequence --log-tcp-options --log-ip-options
     
115. -A REJECTLOG -p tcp -j REJECT --reject-with tcp-reset
     
116. -A REJECTLOG -j REJECT --reject-with icmp-port-unreachable
     
117. -A RELATED_ICMP -p icmp -m icmp --icmp-type 3 -j ACCEPT
     
118. -A RELATED_ICMP -p icmp -m icmp --icmp-type 11 -j ACCEPT
     
119. -A RELATED_ICMP -p icmp -m icmp --icmp-type 12 -j ACCEPT
     
120. -A RELATED_ICMP -j DROPLOG
     
121. -A SYN_FLOOD -m limit --limit 2/sec --limit-burst 6 -j RETURN
     
122. -A SYN_FLOOD -j DROP
     
123. COMMIT
     
124. # Completed on Wed Jun 27 21:17:17 2012
     

复制代码

另外，脚本用的是这个 http://forums.digitalpoint.com/showthread.php?t=1031456

anonymous0502

前面一大堆DROP，你看看连不上时是不是你的ip符合那些DROP条件了。

1404383934

回复 2# anonymous0502

恩，不搞这么复杂了。

http://easyfwgen.morizot.net/gen/

我用这个重新生成了一个规则，今天回家试试再说。

谢谢回复……


   

ulovko

@1404383934 自动生成 犀利喲 ^_^

chenyx

iptables -L -nv 看下每个规则的计数,看看哪个增长的最快

zhwei228

iptables 不是一个服务 ,netfilter是内核的一个模块。/etc/sysconf/iptables文件开始时不存在的，输入iptables-save而生成，所以下次开机ipables还会自动重启并应用/etc/sysconf/iptables配置。

1404383934

恩，不搞这么复杂了。

http://easyfwgen.morizot.net/gen/

这个脚本可以了

谢谢各位！

chenyx

很可能是那些limit规则造成的连接丢失,楼主现在的规则是什么样的了

anonymous0502

这也自动生成，确实犀利

haishui

应该是那些限制的ip地址段的问题吧，不知道LZ在家上网的ip是公网的 ma?