iptables防火墙配置导致服务器不能连出去了

sndbox

某个web服务器，使用8080端口，要求对于10.10.1.0/24段全开，限制ping的频度
打开SSH，同时允许服务器从外面下载用于升级什么的
按照网上的各种前辈指教，默认进入的数据包一定要DROP，于是：
  
#允许回环
iptables -A INPUT -j ACCEPT -i lo
  
#信任网段全开
iptables -A INPUT -j ACCEPT -s 10.10.1.0/24  
  
#限制ping的速率不超过3次/秒，同时不超过15台主机ping服务器
iptables -A INPUT -j ACCEPT -p icmp -m limit  --limit 3/s --limit-burst 15
  
#开SSH，资料说SSH同时用到TCP和UDP
iptables -A INPUT -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j ACCEPT -p udp --dport 22
  
#开web，端口8080
iptables -A INPUT -j ACCEPT -p tcp --dport 8080
  
#默认关闭进来的包，不符合以上的全部丢弃
iptables -P INPUT DROP
  
可是因为最后的默认策略是丢弃，导致服务器不能从外网下载任何数据了，怎么办啊？本机用HTTP或者FTP下载的时候，或者用其它连出去的协议如SMTP，DNS，本机端口是随机开的呀！

chenyx

1. -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

复制代码

加上这个

sndbox

chenyx 发表于 2012-12-17 08:03
加上这个

我想下，这个服务器主动外联的标记应该是向对方发送SYN，这是出口，对方SYN-ACK，这是入口，本机再发出ACK，一旦建立，就是ESTABLISHED状态了，你为什么不把SYN-ACK加入？RELATED是什么呢？
还有，这个方法对于UDP无效，因为UDP无三步握手

枫之歌

1. iptables -P INPUT DROP

复制代码

这句放在后面的话，前面的还有效吗？
我觉得应该把它放在最前面一行。

sndbox

枫之歌 发表于 2012-12-17 10:03
这句放在后面的话，前面的还有效吗？
我觉得应该把它放在最前面一行。

这是默认策略，无论放在哪里，iptables -L -n 查看
总是位于Chain INPUT (policy DROP)

fuhai19890303

tcpdump -i eth0 -nn host (加服务器IP) adn port 8080

在服务器上抓下包 看下哪个地方出的问题

46212635

把iptables -L -n的结果贴出来看一下，不知道你的output链有没有drop啊？

sndbox

搞清楚了，2楼是对的

skyerping

你OUTPUT链里是什么规则啊？
你做了INPUT链的规则，OUTPUT链没做吧。
能进来但是出不去啊！！IP