|
|
Не добавляется правило iptables |
☑ |
|
0
Klesk666
06.01.17
✎
12:19
|
делаю
# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
# service iptables restart
[root@centos1c sysconfig]# iptables-save
выдает:
# Generated by iptables-save v1.4.7 on Fri Jan 6 12:13:53 2017
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8805:3697083]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 1322 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7392 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p udp -m multiport --dports 137,138 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp -m multiport --dports 139,445 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -p tcp -m tcp --dport 7392 -j ACCEPT
COMMIT
# Completed on Fri Jan 6 12:13:53 2017
[root@centos1c sysconfig]#
|
|
|
1
arsik
гуру
06.01.17
✎
12:40
|
(0) А зачем ты его рестартиш?
после
# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
Уже все работает.
Если тебе надо, что бы при загрузке сразу правило появилось,то нужно смотреть откуда демон iptables эти правила берет.
|
|
|
2
Ufo_Attack
06.01.17
✎
12:45
|
После добавления правила, нужно его сохранить
service iptables save
А не рестартить.
По хорошему нужно вручную отредактировать (добавить правило) /etc/sysconfig/iptables т.к. порядок имеет значение.
|
|
|
3
arsik
гуру
06.01.17
✎
12:51
|
Ну и iptables чистый редко где использую. Посмотри firehol (). Намного проще и удобнее. Плюс очень визуально. Firehol на основании своих правил строит правила в iptables. Это по сути просто башевский скрипт.
|
|
|
4
arsik
гуру
06.01.17
✎
12:53
|
+(3) Ну и плюс к firehol-у еще есть и FireQOS. Очень все быстро делается.
|
|
|
5
arsik
гуру
06.01.17
✎
12:55
|
Ну и так кому интересно у команды firehol есть еще прикольные опенсурсный продукт netdata. Просто бомба.
Вот пример:
|
|
|
6
Asmody
06.01.17
✎
13:46
|
Для простых случаев ufw — наше всё.
|
|
|
7
Ufo_Attack
06.01.17
✎
13:48
|
(6) Для простых случаев наоборот iptables лучше. Даже если пользуешься надстройками, нужно понимать как все это работает.
|
|
|
8
Asmody
06.01.17
✎
13:59
|
(7) Да-да-да. Особенно, если хост где-то в паре тысяч км в другой стране. Один неосторожный символ — и писец.
|
|
|
9
spock
06.01.17
✎
14:07
|
1. Поставить iptables-persistent;
2. добавить правила;
3. сохранить правила service iptables-persistent save;
3. радоваться.
|
|
|
10
Klesk666
06.01.17
✎
15:20
|
(2) спасибо, помогло
|
|
|
11
Ufo_Attack
06.01.17
✎
15:24
|
(9) iptables-persistent это для Debian/Ubuntu
Для CentOS 6 ничего дополнительно ставить не надо, достаточно service iptables save
|
|
|
12
spock
06.01.17
✎
15:33
|
(11) +
|
|
Требовать и эффективности, и гибкости от одной и той же программы — все равно, что искать очаровательную и скромную жену... по-видимому, нам следует остановиться на чем-то одном из двух. Фредерик Брукс-младший
