论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2014-08-11 18:32 |只看该作者 |倒序浏览

上次把外网访问虚拟机的问题解决了，但是后来方式，物理机一重启，远程就连不上虚拟机了，必须在物理机上执行下
#service iptables restart

才能连上虚拟机，这是为什么呢？？？

主机启动后，查看iptables状态如下：
[root@tgj136 ~]# service iptables status
Table: nat
Chain PREROUTING (policy ACCEPT)
num  target    prot opt source             destination
1 DNAT    tcp  --  0.0.0.0/0          0.0.0.0/0          tcp dpt:2222 to:192.168.122.100:22
2 DNAT    tcp  --  0.0.0.0/0          0.0.0.0/0          tcp dpt:2223 to:192.168.122.101:22

Chain POSTROUTING (policy ACCEPT)
num  target    prot opt source             destination
1 MASQUERADE  tcp  --  192.168.122.0/24 !192.168.122.0/24 masq ports: 1024-65535
2 MASQUERADE  udp  --  192.168.122.0/24 !192.168.122.0/24 masq ports: 1024-65535
3 MASQUERADE  all  --  192.168.122.0/24 !192.168.122.0/24
4 MASQUERADE  tcp  --  192.168.122.0/24 !192.168.122.0/24 masq ports: 1024-65535
5 MASQUERADE  udp  --  192.168.122.0/24 !192.168.122.0/24 masq ports: 1024-65535
6 MASQUERADE  all  --  192.168.122.0/24 !192.168.122.0/24

Chain OUTPUT (policy ACCEPT)
num  target    prot opt source             destination

Table: mangle
Chain PREROUTING (policy ACCEPT)
num  target    prot opt source             destination

Chain INPUT (policy ACCEPT)
num  target    prot opt source             destination

Chain FORWARD (policy ACCEPT)
num  target    prot opt source             destination

Chain OUTPUT (policy ACCEPT)
num  target    prot opt source             destination

Chain POSTROUTING (policy ACCEPT)
num  target    prot opt source             destination
1 CHECKSUM udp  --  0.0.0.0/0          0.0.0.0/0          udp dpt:68 CHECKSUM fill
2 CHECKSUM udp  --  0.0.0.0/0          0.0.0.0/0          udp dpt:68 CHECKSUM fill

Table: filter
Chain INPUT (policy ACCEPT)
num  target    prot opt source             destination
1 ACCEPT    udp  --  0.0.0.0/0          0.0.0.0/0          udp dpt:53
2 ACCEPT    tcp  --  0.0.0.0/0          0.0.0.0/0          tcp dpt:53
3 ACCEPT    udp  --  0.0.0.0/0          0.0.0.0/0          udp dpt:67
4 ACCEPT    tcp  --  0.0.0.0/0          0.0.0.0/0          tcp dpt:67
5 ACCEPT    udp  --  0.0.0.0/0          0.0.0.0/0          udp dpt:53
6 ACCEPT    tcp  --  0.0.0.0/0          0.0.0.0/0          tcp dpt:53
7 ACCEPT    udp  --  0.0.0.0/0          0.0.0.0/0          udp dpt:67
8 ACCEPT    tcp  --  0.0.0.0/0          0.0.0.0/0          tcp dpt:67
9 ACCEPT    tcp  --  0.0.0.0/0          0.0.0.0/0          tcp dpt:161
10 ACCEPT    tcp  --  0.0.0.0/0          0.0.0.0/0          tcp dpt:2222

Chain FORWARD (policy ACCEPT)
num  target    prot opt source             destination
1 ACCEPT    all  --  0.0.0.0/0          192.168.122.0/24 state RELATED,ESTABLISHED
2 ACCEPT    all  --  192.168.122.0/24    0.0.0.0/0
3 ACCEPT    all  --  0.0.0.0/0          0.0.0.0/0
4 REJECT    all  --  0.0.0.0/0          0.0.0.0/0          reject-with icmp-port-unreachable
5 REJECT    all  --  0.0.0.0/0          0.0.0.0/0          reject-with icmp-port-unreachable
6 ACCEPT    tcp  --  0.0.0.0/0          192.168.122.100    state NEW tcp dpt:22
7 ACCEPT    tcp  --  0.0.0.0/0          192.168.122.101    state NEW tcp dpt:22
8 ACCEPT    all  --  0.0.0.0/0          192.168.122.0/24 state RELATED,ESTABLISHED
9 ACCEPT    all  --  192.168.122.0/24    0.0.0.0/0
10 ACCEPT    all  --  0.0.0.0/0          0.0.0.0/0
11 REJECT    all  --  0.0.0.0/0          0.0.0.0/0          reject-with icmp-port-unreachable
12 REJECT    all  --  0.0.0.0/0          0.0.0.0/0          reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
num  target    prot opt source             destination

[root@tgj136 ~]#

文库|博客

q1208c

富甲一方

论坛徽章:: 33

2楼 [报告]

发表于 2014-08-11 19:04 |只看该作者

你的每一个规则都被执行了两次, 看看是不是你有两处同时运行的同样的脚本.

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

chenyx

版主

论坛徽章:: 381

3楼 [报告]

发表于 2014-08-11 19:46 |只看该作者

chkconfig --list iptables看下iptables服务是否开机启动了。
另外检查下系统是否还有其他地方启用iptables规则了，如楼上所说，规则被写了2次

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

xqcool8

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2014-08-12 14:43 |只看该作者

回复 2# q1208c

怎么看到我的规则被执行了2次呢？？？

怎么参看我的规则在其他地方也运行过呢？？？？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

xqcool8

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2014-08-12 14:44 |只看该作者

本帖最后由 xqcool8 于 2014-08-12 14:45 编辑

回复 3# chenyx

chkconfig --list iptables的结果如下：
[root@tgj136 ~]# chkconfig --list iptables
iptables 0:Off 1:Off 2:On 3:On 4:On 5:On 6:Off
[root@tgj136 ~]#

在哪里检查系统在其他地方也启用iptables规则了呢？？？？？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

chenyx

版主

论坛徽章:: 381

6楼 [报告]

发表于 2014-08-12 15:01 |只看该作者

一般开机加载的,除了服务,就是在rc.local里面来启动

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

xqcool8

白手起家

论坛徽章:: 0

7楼 [报告]

发表于 2014-08-12 15:13 |只看该作者

回复 6# chenyx

rc.local 里面的内容
[root@tgj136 ~]# cat /etc/rc.local
#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

touch /var/lock/subsys/local
[root@tgj136 ~]#

也没有关于iptables的影子，好奇怪的说

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

xqcool8

白手起家

论坛徽章:: 0

8楼 [报告]

发表于 2014-08-12 15:59 |只看该作者

我发现个问题，我把iptables关闭了，重启了下机器，开机后看了下iptables的状态，还是被执行了，这是怎么回事呢？

[root@tgj136 ~]# chkconfig --list iptables
iptables 0

ff 1

ff 2

ff 3

ff 4

ff 5

ff 6

ff
[root@tgj136 ~]#

Try `iptables -h' or 'iptables --help' for more information.
[root@tgj136 ~]# service iptables status
Table: nat
Chain PREROUTING (policy ACCEPT)
num  target    prot opt source             destination

Chain POSTROUTING (policy ACCEPT)
num  target    prot opt source             destination
1 MASQUERADE  tcp  --  192.168.122.0/24 !192.168.122.0/24 masq ports: 1024-65535
2 MASQUERADE  udp  --  192.168.122.0/24 !192.168.122.0/24 masq ports: 1024-65535
3 MASQUERADE  all  --  192.168.122.0/24 !192.168.122.0/24

Chain OUTPUT (policy ACCEPT)
num  target    prot opt source             destination

Table: mangle
Chain PREROUTING (policy ACCEPT)
num  target    prot opt source             destination

Chain INPUT (policy ACCEPT)
num  target    prot opt source             destination

Chain FORWARD (policy ACCEPT)
num  target    prot opt source             destination

Chain OUTPUT (policy ACCEPT)
num  target    prot opt source             destination

Chain POSTROUTING (policy ACCEPT)
num  target    prot opt source             destination
1 CHECKSUM udp  --  0.0.0.0/0          0.0.0.0/0          udp dpt:68 CHECKSUM fill

Table: filter
Chain INPUT (policy ACCEPT)
num  target    prot opt source             destination
1 ACCEPT    udp  --  0.0.0.0/0          0.0.0.0/0          udp dpt:53
2 ACCEPT    tcp  --  0.0.0.0/0          0.0.0.0/0          tcp dpt:53
3 ACCEPT    udp  --  0.0.0.0/0          0.0.0.0/0          udp dpt:67
4 ACCEPT    tcp  --  0.0.0.0/0          0.0.0.0/0          tcp dpt:67

Chain FORWARD (policy ACCEPT)
num  target    prot opt source             destination
1 ACCEPT    all  --  0.0.0.0/0          192.168.122.0/24 state RELATED,ESTABLISHED
2 ACCEPT    all  --  192.168.122.0/24    0.0.0.0/0
3 ACCEPT    all  --  0.0.0.0/0          0.0.0.0/0
4 REJECT    all  --  0.0.0.0/0          0.0.0.0/0          reject-with icmp-port-unreachable
5 REJECT    all  --  0.0.0.0/0          0.0.0.0/0          reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
num  target    prot opt source             destination

[root@tgj136 ~]#