Я следовал Руководству по системному администрированию Unix и Linux, полному примеру 5-го издания для iptables. Фильтрация пакетов с сохранением состояния позволила мне печатать удаленно на моем MakerBot, но сегодня я не смог подключиться к своему домашнему серверу через SSH. В справочнике SysAdmin говорится, что фильтрация пакетов с отслеживанием состояния - это самая мощная функция, которую Netfilter предоставляет для межсетевого экрана, но она может добавить ненужную сложность сети. Следовательно, я, вероятно, урежу свои потери с помощью фильтрации пакетов с отслеживанием состояния, если кто-то не сможет разрубить узел Гордиана.

IPtables -L -v вывод:

0     0 ACCEPT     tcp  --  any    any     anywhere             icarus.lan           tcp dpt:ssh
0     0 ACCEPT     tcp  --  any    any     anywhere             icarus.lan           tcp dpt:www
0     0 ACCEPT     tcp  --  any    any     anywhere             icarus.lan           tcp dpt:https

23M 21G ПРИНЯТЬ все - любое в любом месте в любом месте, СВЯЗАННОЕ, УСТАНОВЛЕННОЕ

По какой-то причине Open-WRT/LEDE сбрасывает мою политику INPUT по умолчанию, чтобы принять даже после того, как я установил ее в DROP. Однако это правило, похоже, не соответствует ничему, поэтому я не слишком обеспокоен. Вы можете видеть выше, у меня есть набор пересылки пакетов для SSH, но это правило не соответствует ничему. Спасибо за ваше время и вклад.

|источник

2 ответа2

0

Причина, по которой моя мобильная точка доступа подключена к моему серверу из локальной сети, заключается в том, что я не включил WiFi на своем смартфоне. Я понял, что вместо того, чтобы пытаться напрямую манипулировать iptables, было бы гораздо проще настроить переадресацию портов в браузере, чем SSH на маршрутизатор и запустить iptables -L -v, чтобы увидеть, что изменилось в бэкэнде. Поскольку изменения находятся в предварительной и последующей передаче, вышеупомянутая команда не показала никаких изменений впоследствии, поэтому мне пришлось запустить iptables -t nat -L, чтобы увидеть, что изменилось.

|источник
0

После некоторого устранения неполадок сегодня утром мне удалось открыть порт 22, но с оговоркой, что моя политика по умолчанию - ПРИНЯТЬ. Я могу только SSH в мой маршрутизатор, а не мой сервер (Icarus). Очевидно, что с IPv6 я мог подключиться напрямую к Icarus, но в городе есть только одна кофейня с IPv6. Ни один из них не приемлем в долгосрочной перспективе, поэтому я все еще приветствую совет, но в краткосрочной перспективе мой конфиг приемлем.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .