1

Я недавно купил новый KVM/VPS, как только я установил OpenResty(вилка nginx) и запустил его, мой сервер не принимал входящее соединение на тестовом порту 8080 Мне удалось решить проблему, добавив порт 8080 к разрешенным правилам,

iptables -I INPUT  -p tcp --dport 8080 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -I OUTPUT -p tcp --sport 8080 -m conntrack --ctstate ESTABLISHED     -j ACCEPT

но я все еще не могу понять правила по умолчанию, которые идут с моим VPS 

 pkts bytes   target           prot opt in     out     source               destination                              
 361K 1192M ACCEPT             all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    1    60     ACCEPT         all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
 464K   70M INPUT_direct       all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 464K   70M INPUT_ZONES_SOURCE all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 464K   70M INPUT_ZONES        all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 1324 61332 DROP               all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
 458K   70M REJECT             all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

особенно последняя строка - блокирует весь входящий трафик!

|источник

1 ответ1

1

Правила iptables оцениваются сверху вниз. Если пакет соответствует одному из правил, он выполняет то, что определяет ACTION правила. Обычно это REJECT , ACCEPT , DROP , REDIRECT (в другой порт) или переход в CHAIN .

Последнее правило - это просто общее правило, которое срабатывает, когда не сработало ни одно предыдущее правило. По сути, это «по умолчанию отклонить все, что не соответствует предыдущему правилу». Это стандартная и хорошая практика при внедрении брандмауэров.

icmp-host-prohibited - это просто сообщение об отклонении, с которым пакет отклоняется. Это означает, что ваш сервер уведомит отправителя, что пакет был отклонен с этим сообщением.

Обратите внимание, что для лучшей защиты рекомендуется DROP сообщения вместо REJECT их, потому что последний может дать злоумышленнику некоторую информацию, например, например, "этот хост существует и отклонил ваш пакет", тогда как DROP не будет предоставлять такую информацию.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .