-2

У меня есть сервер, на котором iptable установлен для удаления политики ввода / вывода. Я разрешаю только базовые подключения к таким службам, как Apache2 и SSH, за пределами компьютера. Машине разрешен только доступ к веб-сайтам, которые необходимы для правильной работы (например, обновления apt-get ). У меня, однако, есть проблема, пытаясь разрешить noip2 доступ к Интернету через iptables - каждый раз, когда обновление не удается. В настоящее время я смог заставить его работать, только если настроил все политики для принятия, однако для меня важно сохранить мой сервер с политиками отбрасывания.

Есть ли способ разрешить noip2 обновляться через iptables? Я пытался найти что-нибудь в Интернете, но ничто из того, что я нашел, мне не помогло.

Я использую Ubuntu 16.04, если это вообще помогает.

|источник

1 ответ1

1
  1. Выясните , что конкретно нужно для noip2.
  2. Разрешите это в вашем брандмауэре.

Таким образом, один из способов выяснить, что нужно (если в документации не сказано), - включить запись пропущенных пакетов. Затем вы можете запустить noip2, просмотреть журналы и обнаружить, что он пытается получить доступ к серверу X через порт Y.

Если вы отбрасываете пакеты только через цепную политику, просто добавьте это правило в конце:

-A OUTPUT -j LOG --log-prefix "dropped: "

Затем журнал ядра (dmesg) начнет собирать информацию о пакетах, которые достигли этого правила - то есть тех, которые не достигли каких-либо предыдущих правил принятия / отклонения / удаления. Используйте эту информацию, чтобы написать правила принятия для noip2.

Примечание. Если вы пишете правила на основе IP, не забудьте проверить, может ли адрес принадлежать CDN, например Cloudflare. В этом случае белый список только этого единственного адреса не будет длиться долго, и вам понадобятся другие методы (такие как прокси-сервер фильтрации или правила, основанные на UID/GID программы noip2).

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .