Iptables: разрешить wget

Question

по каким-то причинам следующие правила блокируют wget .

 iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
 iptables -A INPUT -p tcp --dport 80 -j ACCEPT
 iptables -A INPUT -p tcp --dport 22 -j ACCEPT
 iptables -A INPUT -i lo -j ACCEPT

 iptables -A INPUT -j DROP

 iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
 iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
 iptables -A OUTPUT -o lo -j ACCEPT
 iptables -A OUTPUT -j DROP

Какие правила мне нужно добавить, чтобы разрешить wget?

Answer 1

Нет никакой необходимости в правилах OUTPUT iptables. Вы можете проверить это самостоятельно, большинство вступлений к использованию iptables даже не упоминают ни одного такого правила. Вы должны полностью отбросить их, тогда wget будет работать.

Например, нет смысла иметь правило ESTABLISHED, RELATED для исходящих пакетов, если вы запускаете соединения.

В частности, причина сбоя wget заключается в том, что вы не допустили DNS, поэтому в вашей системе нет разрешения имен: вы блокируете все такие запросы.

Кроме того, вы должны иметь в виду, что wget способен загружать страницы не только по протоколу HTTP, но также по HTTPS, FTP и так далее. Таким образом, строго говоря, нет такой вещи, как порт wget, есть только порты, используемые протоколами, которые знает wget . И вы только разрешаете HTTP, таким образом сильно ограничивая полезность wget.