V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
warcraft1236
V2EX  ›  Linux

求教, iptables -A INPUT -p tcp -j DROP 这条导致 apt 不能使用

  •  
  •   warcraft1236 · 2017-07-13 15:58:26 +08:00 · 3562 次点击
    这是一个创建于 2695 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题,这个不是控制外部访问系统端口的吗?为啥会影响 apt

    15 条回复    2017-07-14 09:53:37 +08:00
    xia0pia0
        1
    xia0pia0  
       2017-07-13 16:21:53 +08:00
    这个会阻断所有外部进来的 TCP 流量了把。封端口用 iptables -A INPUT -p tcp/udp --port xx -j DROP
    mengyaoss77
        2
    mengyaoss77  
       2017-07-13 16:25:58 +08:00 via Android
    你都没指定端口
    warcraft1236
        3
    warcraft1236  
    OP
       2017-07-13 16:27:37 +08:00
    @xia0pia0

    我的规则保存下来文件是这样的

    ```
    # Generated by iptables-save v1.6.0 on Thu Jul 13 03:39:36 2017
    *filter
    :INPUT ACCEPT [75:7987]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 27145 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 13588 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 13589 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 1017 -j ACCEPT
    -A INPUT -p tcp -j DROP
    -A OUTPUT -j ACCEPT
    COMMIT
    # Completed on Thu Jul 13 03:39:36 2017
    ```
    我想达到的就是,除了列出来的这些端口,不能从其他端口访问这个 vps,同时,vps 访问任意外网都不影响
    warcraft1236
        4
    warcraft1236  
    OP
       2017-07-13 16:28:08 +08:00
    @mengyaoss77 指定了可以接受的端口,请看另一条回复
    mengyaoss77
        5
    mengyaoss77  
       2017-07-13 16:31:24 +08:00
    apt 作为本地应用 按道理端口似乎是随机的? 不太清楚, 你抓包试试看
    supermaxisme
        6
    supermaxisme  
       2017-07-13 16:36:20 +08:00
    1. 加一条这个,我相信就可以了。

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    2. 没有看到 22..........,lz 自定义 ssh 端口了?
    tywtyw2002
        7
    tywtyw2002  
       2017-07-13 16:38:10 +08:00 via iPhone
    你 drop 掉了所有 output 方向 return 的数据,要加上一条规则 允许 established 的 tcp 数据包通过
    warcraft1236
        8
    warcraft1236  
    OP
       2017-07-13 16:45:10 +08:00
    @zyzrichard 是的,vps 的 ssh 都是其他端口
    xss
        9
    xss  
       2017-07-13 16:46:05 +08:00
    今天 v 站是怎么了...
    刚看到一个 mv xxx ../... 说找不到文件的...
    现在有看到一个 drop 所有入站 tcp 流量, 说 apt 不能用的..........
    ipwx
        10
    ipwx  
       2017-07-13 16:48:13 +08:00
    @zyzrichard 正解。

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    这条加在最前面
    pubby
        11
    pubby  
       2017-07-13 17:19:26 +08:00 via Android   ❤️ 1
    就好比通话的时候你把耳机摘了,然后说听不到对方说话 -_-
    warcraft1236
        12
    warcraft1236  
    OP
       2017-07-13 18:44:18 +08:00
    @pubby 出站和入站的端口不是同一个啊,我以为是同一个
    yuzunzhi
        13
    yuzunzhi  
       2017-07-14 09:28:57 +08:00
    如果想做白名单,只需要把 INPUT 的默认 POLICE 改成 DROP 就行了呀。然后白名单放行指定的流量
    yuzunzhi
        14
    yuzunzhi  
       2017-07-14 09:32:48 +08:00
    当然,-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 这条也是一定要有的,为啥要删这条。
    warcraft1236
        15
    warcraft1236  
    OP
       2017-07-14 09:53:37 +08:00
    @yuzunzhi 之前不太理解这条是干啥的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1062 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 20:05 · PVG 04:05 · LAX 12:05 · JFK 15:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.