ฉันไม่สามารถเข้าใจได้ตลอดชีวิตว่าทำไม DROP ถึงจบลงด้วยคำขอขาออกที่มาจาก VPS ที่ใช้ openvz ของฉัน
ฉันรู้ว่ามันต้องมีบางอย่างเกี่ยวกับการที่แพ็กเก็ตไม่ส่งออกไปโดยตรง หรือบางอย่าง และดูเหมือนว่าฉันจะพลาดสิ่งพื้นฐานบางอย่างไป ฉันได้ลองทำสิ่งต่างๆ มากมายแล้ว และวิธีเดียวที่จะทำให้มันกลับมาทำงานได้อีกครั้งคือการล้างกฎ (iptables -F)
เป้าหมายคือบล็อกทราฟฟิกขาเข้าทั้งหมด ยกเว้นจาก IP เดียว (1.2.3.4) และพอร์ต 53/113 สำหรับทุกคน และอนุญาตขาออกทั้งหมด
นี่คือผลลัพธ์ของ iptables -L -n -v - ฉันสามารถเห็นจำนวนแพ็กเก็ต DROP เพิ่มขึ้นเมื่อฉันพยายามขดขาออก (IPs แก้ไขเล็กน้อยเพื่อความเป็นส่วนตัว)
Chain INPUT (นโยบายยอมรับ 0 แพ็กเก็ต, 0 ไบต์)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
239 17668 ยอมรับทั้งหมด -- * * 1.2.3.4 0.0.0.0/0
118 11175 ยอมรับ udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53
3 174 ยอมรับ udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
17 1176 ยอมรับ tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113
0 0 ยอมรับทั้งหมด -- จริง * 0.0.0.0/0 0.0.0.0/0
2238 119K ลดทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
เชน FORWARD (นโยบายยอมรับ 0 แพ็กเก็ต 0 ไบต์)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
Chain OUTPUT (นโยบายยอมรับ 0 แพ็คเก็ต, 0 ไบต์)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
889 56648 ยอมรับทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
นี่คือจาก iptables-บันทึก (IPs แก้ไขเล็กน้อยเพื่อความเป็นส่วนตัว)
# สร้างโดย iptables-save v1.8.4 ในวันพฤหัสบดีที่ 2 ธันวาคม 02:42:40 น. 2564
*กรอง
: ยอมรับอินพุต [0:0]
:ส่งต่อ ยอมรับ [0:0]
: ยอมรับเอาต์พุต [0:0]
-A อินพุต -s 1.2.3.4/32 -j ยอมรับ
-A อินพุต -p udp -m udp --sport 53 -j ยอมรับ
-A อินพุต -p udp -m udp --dport 53 -j ยอมรับ
-อินพุต -p tcp -m tcp --dport 113 -j ยอมรับ
-A อินพุต -i lo -j ยอมรับ
-A อินพุต -j DROP
-A OUTPUT -j ยอมรับ
ให้สัญญา
# เสร็จสิ้นในวันพฤหัสบดีที่ 2 ธ.ค. 02:42:40 น. 2564
นี่คืออินเทอร์เฟซ (IPs แก้ไขเล็กน้อยเพื่อความเป็นส่วนตัว)
venet0: flags=211<UP,BROADCAST,POINTOPOINT,RUNNING,NOARP> mtu 1500
inet 127.0.0.1 netmask 255.255.255.255 ออกอากาศ 0.0.0.0 ปลายทาง 127.0.0.1
inet6 2a00:d880:3:1::ad49:a3f2 คำนำหน้า 128 scopeid 0x0<ทั่วโลก>
inet6 2a00:d880:3:1::a639:a610 คำนำหน้า 128 scopeid 0x0<ทั่วโลก>
venet0:0: flags=211<UP,BROADCAST,POINTOPOINT,RUNNING,NOARP> mtu 1500
inet 81.1.1.1 netmask 255.255.255.255 ออกอากาศ 81.1.1.1 ปลายทาง 81.1.1.1
ของคุณ ป้อนข้อมูล ลูกโซ่ปฏิเสธการตอบกลับที่คาดว่าจะถูกต้องไปยังแพ็กเก็ตขาออก เพื่ออนุญาต:
iptables -I INPUT 1 -m conntrack --ctstate ESTABLISHED, RELATED -j ยอมรับ
มันจะตรวจจับว่าแพ็กเก็ตนั้นเป็นความต่อเนื่องของการเชื่อมต่อก่อนหน้าบางอย่างหรือไม่ (เช่น การตอบกลับไปยังแพ็กเก็ตขาออกบางแพ็กเก็ต) และอนุญาต
นอกจากนี้ฉันแนะนำให้เปลี่ยน ป้อนข้อมูล นโยบายที่จะ หยด. การประมวลผลจะไม่เปลี่ยนแปลง (คุณไม่มีข้อจำกัด หยด ลงในหลักเกณฑ์) แต่เจตนาจะชัดเจน
iptables -P อินพุตลดลง
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
