Автор Тема: настройка iptables  (Прочитано 3049 раз)

Hich

  • Newbie
  • *
  • Сообщений: 1
    • Просмотр профиля
настройка iptables
« : Октября 16, 2014, 01:30:55 pm »
Господа, добрый день!

настраиваю iptables на CentOS release 6.5 (Final)
почему он может ругаться вот на эту строчку? ("-I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT")

*filter
:INPUT ACCEPT [83:6794]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [69:6942]
:fail2ban-SSH - [0:0]
.......... .......
-I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
...... ........

COMMIT
*mangle
:PREROUTING ACCEPT [1056:486755]
:INPUT ACCEPT [1056:486755]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1013:396283]
:POSTROUTING ACCEPT [1013:396283]
COMMIT

если её закомментировать, то рестарт службы iptables проходит нормально, иначе error и вся служба вырубается!
Подскажите ,что не так?

rGoblin

  • Newbie
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: настройка iptables
« Ответ #1 : Октября 17, 2014, 11:25:21 am »
По опыту: перед правилом state: estabilished должно быть правило для тех же пакетов со state:new.
Тут, правда, ещё вопрос: а на какие пакеты нужно? На все? И номер правила какой? Команда I добавляет правила в цепочку тем номером, который ей указываешь. Попробуй дописать вот так:
-I INPUT 1 -s <подсеть> -d <подсеть назначения> -m state --state ESTABLISHED,RELATED -j ACCEPT
Это если в командной строке. Если напрямую в конфиг, то вместо -I надо поставить -A, но правило ставить в этом случае не последним, ибо по правилам последнее правило должно запрещать всё, что не разрешено.
« Последнее редактирование: Октября 17, 2014, 11:30:39 am от rGoblin »