免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 Linux系统管理 iptables规则自动改变?
12下一页
最近访问板块 发新帖
查看: 3531 | 回复: 11
打印 上一主题 下一主题

[系统安全] iptables规则自动改变? [复制链接]

knight_zt

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2012-12-06 17:25 |只看该作者 |倒序浏览
本帖最后由 knight_zt 于 2012-12-06 17:28 编辑

我购买了一个VPS的CentOS服务器,并设置了防火墙规则。我的做法是开放指定端口,屏蔽剩余端口。规则设置好后一切正常,但是一段时间后(比如说几个小时)防火墙规则就失效了。失效时所有服务都不能访问,SSH也不能连接。下面是失效时查看 service iptables status的内容:

----------------------------------------------------------------------------------------
Table: nat
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Table: mangle
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination

----------------------------------------------------------------------------------------

下面是刚设置好防火墙后查看status的内容:

----------------------------------------------------------------------------------------

Table: nat
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Table: mangle
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination

Table: filter
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 limit: avg 1/sec burst 5
2    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:53
3    ACCEPT     all  --  127.0.0.1            127.0.0.1
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:10086
6    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1234
7    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:9999

Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 limit: avg 1/sec burst 5
2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x04 limit: avg 1/sec burst 5
3    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 1/sec burst 5

Chain OUTPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
2    ACCEPT     all  --  127.0.0.1            127.0.0.1
3    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:80 state ESTABLISHED
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:10086 state ESTABLISHED
5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:1234 state ESTABLISHED
6    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:9999 state ESTABLISHED

----------------------------------------------------------------------------------------

下面是我的防火墙规则配置:


----------------------------------------------------------------------------------------
# Generated by iptables-save v1.4.7 on Thu Dec  6 13:28:09 2012
*nat
REROUTING ACCEPT [198:10036]
OSTROUTING ACCEPT [186:11172]
:OUTPUT ACCEPT [186:11172]
COMMIT
# Completed on Thu Dec  6 13:28:09 2012
# Generated by iptables-save v1.4.7 on Thu Dec  6 13:28:09 2012
*mangle
REROUTING ACCEPT [53030:238283995]
:INPUT ACCEPT [53030:238283995]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [60502:262754822]
OSTROUTING ACCEPT [60495:262754542]
COMMIT
# Completed on Thu Dec  6 13:28:09 2012
# Generated by iptables-save v1.4.7 on Thu Dec  6 13:28:09 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10086 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1234 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9999 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 10086 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 1234 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 9999 -m state --state ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Dec  6 13:28:09 2012
----------------------------------------------------------------------------------------


失效后我执行一遍service iptables restart 就又恢复了,因此十分不解这是什么现象。请大侠帮忙解答下,不胜感激!
Hongqiyaodao

论坛徽章:
29
技术图书徽章 日期:2013-09-02 19:59:502015元宵节徽章 日期:2015-03-06 15:51:332015小元宵徽章 日期:2015-03-06 15:57:20操作系统版块每日发帖之星 日期:2015-08-16 06:20:002015七夕节徽章 日期:2015-08-21 11:06:17操作系统版块每日发帖之星 日期:2015-09-21 06:20:002015亚冠之水原三星 日期:2015-10-30 00:06:07数据库技术版块每日发帖之星 日期:2015-12-24 06:20:0015-16赛季CBA联赛之上海 日期:2016-01-07 10:32:07操作系统版块每日发帖之星 日期:2016-01-08 06:20:00操作系统版块每日发帖之星 日期:2016-05-18 06:20:00IT运维版块每日发帖之星 日期:2016-07-23 06:20:00
2 [报告]
发表于 2012-12-06 20:43 |只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
q1208c

论坛徽章:
33
荣誉会员 日期:2011-11-23 16:44:17天秤座 日期:2014-08-26 16:18:20天秤座 日期:2014-08-29 10:12:18丑牛 日期:2014-08-29 16:06:45丑牛 日期:2014-09-03 10:28:58射手座 日期:2014-09-03 16:01:17寅虎 日期:2014-09-11 14:24:21天蝎座 日期:2014-09-17 08:33:55IT运维版块每日发帖之星 日期:2016-04-17 06:23:27操作系统版块每日发帖之星 日期:2016-04-18 06:20:00IT运维版块每日发帖之星 日期:2016-04-24 06:20:0015-16赛季CBA联赛之天津 日期:2016-05-06 12:46:59
3 [报告]
发表于 2012-12-06 20:52 |只看该作者
table filter 怎么没有了?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
knight_zt

论坛徽章:
0
4 [报告]
发表于 2012-12-06 23:42 |只看该作者
Hongqiyaodao 发表于 2012-12-06 20:43
人家给你限制了?

不能吧?他限制我做什么啊?这不是给我添麻烦呢吗?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
knight_zt

论坛徽章:
0
5 [报告]
发表于 2012-12-06 23:43 |只看该作者
q1208c 发表于 2012-12-06 20:52
table filter 怎么没有了?

我也不知道为什么没有了,所以说什么都做不了啊,重启一下iptables就好了,实在不知道是为什么!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
Hongqiyaodao

论坛徽章:
29
技术图书徽章 日期:2013-09-02 19:59:502015元宵节徽章 日期:2015-03-06 15:51:332015小元宵徽章 日期:2015-03-06 15:57:20操作系统版块每日发帖之星 日期:2015-08-16 06:20:002015七夕节徽章 日期:2015-08-21 11:06:17操作系统版块每日发帖之星 日期:2015-09-21 06:20:002015亚冠之水原三星 日期:2015-10-30 00:06:07数据库技术版块每日发帖之星 日期:2015-12-24 06:20:0015-16赛季CBA联赛之上海 日期:2016-01-07 10:32:07操作系统版块每日发帖之星 日期:2016-01-08 06:20:00操作系统版块每日发帖之星 日期:2016-05-18 06:20:00IT运维版块每日发帖之星 日期:2016-07-23 06:20:00
6 [报告]
发表于 2012-12-07 08:31 |只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
knight_zt

论坛徽章:
0
7 [报告]
发表于 2012-12-07 08:58 |只看该作者
Hongqiyaodao 发表于 2012-12-07 08:31
回复 4# knight_zt

好吧,只能问一问他们客服去了
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
q1208c

论坛徽章:
33
荣誉会员 日期:2011-11-23 16:44:17天秤座 日期:2014-08-26 16:18:20天秤座 日期:2014-08-29 10:12:18丑牛 日期:2014-08-29 16:06:45丑牛 日期:2014-09-03 10:28:58射手座 日期:2014-09-03 16:01:17寅虎 日期:2014-09-11 14:24:21天蝎座 日期:2014-09-17 08:33:55IT运维版块每日发帖之星 日期:2016-04-17 06:23:27操作系统版块每日发帖之星 日期:2016-04-18 06:20:00IT运维版块每日发帖之星 日期:2016-04-24 06:20:0015-16赛季CBA联赛之天津 日期:2016-05-06 12:46:59
8 [报告]
发表于 2012-12-07 18:49 |只看该作者
回复 5# knight_zt

filter 我记得是 kernel的一个 mod, 你看一下log, 有没有 filter 相关的 mod 被 unload 的记录.

或者, 你的 filter mod不是标准的, 自己 crash了?

重启 iptables 服务会重新加载 filter mod 的.
   
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
knight_zt

论坛徽章:
0
9 [报告]
发表于 2012-12-09 19:48 |只看该作者
q1208c 发表于 2012-12-07 18:49
回复 5# knight_zt

filter 我记得是 kernel的一个 mod, 你看一下log, 有没有 filter 相关的 mod 被 unl ...


被unload的记录,在哪里看?请问
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
q1208c

论坛徽章:
33
荣誉会员 日期:2011-11-23 16:44:17天秤座 日期:2014-08-26 16:18:20天秤座 日期:2014-08-29 10:12:18丑牛 日期:2014-08-29 16:06:45丑牛 日期:2014-09-03 10:28:58射手座 日期:2014-09-03 16:01:17寅虎 日期:2014-09-11 14:24:21天蝎座 日期:2014-09-17 08:33:55IT运维版块每日发帖之星 日期:2016-04-17 06:23:27操作系统版块每日发帖之星 日期:2016-04-18 06:20:00IT运维版块每日发帖之星 日期:2016-04-24 06:20:0015-16赛季CBA联赛之天津 日期:2016-05-06 12:46:59
10 [报告]
发表于 2012-12-10 19:34 |只看该作者
回复 9# knight_zt


这个是属于 kernel 的 log. 具体在哪个文件里, 要看你的 syslog的 配置了.

一般会在 dmesg 的输出里, 还会在 /var/log/message 里 .

   
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP