2

Я пытался сделать тяги из GitHub, и он продолжает висеть. В моих правилах iptables нет правил, блокирующих исходящий трафик, но я не могу подключиться к github, используя ssh или http. Я даже не могу подключиться к серверу ssh через localhost. Когда я отключаю брандмауэр, эта проблема исчезает. Я знаю, что серверу ssh разрешен входящий, потому что я подключаюсь к серверу исключительно через ssh.

Вот вывод моего iptables -nvL :

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
   92  6872 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:9418
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5000
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:3306
    1    44 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 50 packets, 5664 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Я не знаю, что здесь происходит, мне кажется, что исходящие пакеты должны быть разрешены?

2 ответа2

2

На первый взгляд кажется, что вы отбрасываете возвратные пакеты. Добавьте следующее правило в свои iptables:

/usr/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Это принимает возврат пакетов.

2

Вам необходимо принять правила для установленных соединений. Обычно первое правило будет в такой форме.

-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Вы также, кажется, пропускаете правила для принятия пакетов ICMP, необходимых для правильной работы IP.

-A INPUT -p 1 --icmp-type 3/4 -j ACCEPT -m comment --comment "Needed ICMP types"
-A INPUT -p 1 --icmp-type 11 -j ACCEPT -m comment --comment "Needed ICMP types"

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .