31

Для моей тестовой среды я хочу принять весь входящий трафик, может кто-нибудь дать мне правило iptable для добавления.

Мой текущий вывод iptables -L -n выглядит так

Цепной ВХОД (политика ПРИНЯТЬ) целевой целевой источник
пункт назначения ПРИНЯТЬ все - 0.0.0.0/0 0.0.0.0/0
СВЯЗАННОЕ с СОСТОЯНИЕМ, УСТАНОВЛЕННОЕ ПРИНЯТЬ icmp - 0.0.0.0/0
0.0.0.0/0 ПРИНЯТЬ все - 0.0.0.0/0 0.0.0.0/0 ПРИНЯТЬ tcp - 0.0.0.0/0 0.0.0.0/0 состояние NEW tcp dpt:22 REJECT all - 0.0.0.0/0 0.0. 0.0/0
отклонить с помощью icmp-host-closed ПРИНЯТЬ tcp - 0.0.0.0/0
0.0.0.0/0 tcp dpt:8443 ACCEPT tcp - 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 ACCEPT tcp - 0.0.0.0/0 0.0.0.0/0 tcp dpt:9443 ACCEPT tcp - 0.0 .0.0/0 0.0.0.0/0 tcp dpt:2124

Цепочка FORWARD (политика ПРИНЯТЬ) целевой целевой источник
назначение ОТКЛОНИТЬ все - 0.0.0.0/0 0.0.0.0/0
отклонить с icmp-host-запрещено

Цепной выход (политика ПРИНЯТЬ) целевой целевой источник
место назначения

Спасибо

|источник

2 ответа2

45

Запустите следующее. Он вставит правило в верхнюю часть ваших iptables и разрешит весь трафик, если впоследствии не будет обработано другое правило.

iptables -I INPUT -j ACCEPT

Вы также можете сбросить все настройки iptables следующим образом:

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

Если вы очистите его, вы можете запустить что-то вроде:

iptables -A INPUT -i lo -j ACCEPT -m comment --comment "Allow all loopback traffic"
iptables -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT -m comment --comment "Drop all traffic to 127 that doesn't use lo"
iptables -A OUTPUT -j ACCEPT -m comment --comment "Accept all outgoing"
iptables -A INPUT -j ACCEPT -m comment --comment "Accept all incoming"
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -m comment --comment "Allow all incoming on established connections"
iptables -A INPUT -j REJECT -m comment --comment "Reject all incoming"
iptables -A FORWARD -j REJECT -m comment --comment "Reject all forwarded"

Если вы хотите повысить безопасность своего трафика, не используйте правило "принять все входящие" или удалите его с помощью «iptables -D INPUT -j ACCEPT -m comment --comment" Принять все входящие "» и добавьте еще конкретные правила, такие как:

iptables -I INPUT -p tcp --dport 80 -j ACCEPT -m comment --comment "Allow HTTP"
iptables -I INPUT -p tcp --dport 443 -j ACCEPT -m comment --comment "Allow HTTPS"
iptables -I INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT -m comment --comment "Allow SSH"
iptables -I INPUT -p tcp --dport 8071:8079 -j ACCEPT -m comment --comment "Allow torrents"

ПРИМЕЧАНИЕ. Они должны быть выше двух правил отклонения внизу, поэтому используйте I, чтобы вставить их сверху. Или, если вы похожи на меня, используйте «iptables -nL --line-numbers», чтобы получить номера строк, а затем «iptables -I INPUT ...», чтобы вставить правило с определенным номером строки.

Наконец, сохраните вашу работу с:

iptables-save > /etc/network/iptables.rules #Or wherever your iptables.rules file is
|источник
14

Чтобы принять весь входящий трафик, вы можете использовать следующую команду: -P - установить политику по умолчанию как принять 

iptables -P INPUT ACCEPT

если вам не нужны ваши предыдущие правила, просто очистите / удалите их, а затем используйте команду выше.
сбросить все правила использования 

iptables -F
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .