iptables问题

qq_28512059 2017-11-04 11:39:58
pptp拨号,已经连接并且分配到了地址,但是服务器和客户端之间互相Ping不通,关闭防火墙后可Ping通,求解答,下边是有问题的防火墙配置
# Generated by iptables-save v1.4.10 on Sat Nov  4 11:03:42 2017

*nat

:PREROUTING ACCEPT [17511:2855459]

:INPUT ACCEPT [53:2922]

:OUTPUT ACCEPT [62:4122]

:POSTROUTING ACCEPT [3:184]

:MINIUPNPD - [0:0]

:postrouting_rule - [0:0]

:prerouting_lan - [0:0]

:prerouting_rule - [0:0]

:prerouting_wan - [0:0]

:zone_lan_nat - [0:0]

:zone_lan_prerouting - [0:0]

:zone_wan_nat - [0:0]

:zone_wan_prerouting - [0:0]

-A PREROUTING -j prerouting_rule 

-A PREROUTING -i br-lan -j zone_lan_prerouting 

-A PREROUTING -i eth0.2 -j zone_wan_prerouting 

-A PREROUTING -i pptp-pptp -j zone_wan_prerouting 

-A POSTROUTING -j postrouting_rule 

-A POSTROUTING -o br-lan -j zone_lan_nat 

-A POSTROUTING -o eth0.2 -j zone_wan_nat 

-A POSTROUTING -o pptp-pptp -j zone_wan_nat 

-A zone_lan_prerouting -j prerouting_lan 

-A zone_wan_nat -j MASQUERADE 

-A zone_wan_prerouting -j MINIUPNPD 

-A zone_wan_prerouting -j prerouting_wan 

COMMIT

# Completed on Sat Nov  4 11:03:42 2017

# Generated by iptables-save v1.4.10 on Sat Nov  4 11:03:42 2017

*raw

:PREROUTING ACCEPT [18080:2906894]

:OUTPUT ACCEPT [1059:263557]

:zone_lan_notrack - [0:0]

:zone_wan_notrack - [0:0]

-A PREROUTING -i br-lan -j zone_lan_notrack 

-A PREROUTING -i eth0.2 -j zone_wan_notrack 

-A PREROUTING -i pptp-pptp -j zone_wan_notrack 

COMMIT

# Completed on Sat Nov  4 11:03:42 2017

# Generated by iptables-save v1.4.10 on Sat Nov  4 11:03:42 2017

*mangle

:PREROUTING ACCEPT [18103:2910338]

:INPUT ACCEPT [9451:1500074]

:FORWARD ACCEPT [58:25745]

:OUTPUT ACCEPT [1064:263939]

:POSTROUTING ACCEPT [1064:263939]

:limit_chain - [0:0]

:zone_wan_MSSFIX - [0:0]

-A FORWARD -j zone_wan_MSSFIX 

-A FORWARD -j limit_chain 

-A zone_wan_MSSFIX -o eth0.2 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 

-A zone_wan_MSSFIX -o pptp-pptp -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 

COMMIT

# Completed on Sat Nov  4 11:03:42 2017

# Generated by iptables-save v1.4.10 on Sat Nov  4 11:03:42 2017

*filter

:INPUT ACCEPT [0:0]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [0:0]

:MINIUPNPD - [0:0]

:forward - [0:0]

:forwarding_lan - [0:0]

:forwarding_rule - [0:0]

:forwarding_wan - [0:0]

:input - [0:0]

:input_lan - [0:0]

:input_rule - [0:0]

:input_wan - [0:0]

:output - [0:0]

:output_rule - [0:0]

:reject - [0:0]

:syn_flood - [0:0]

:zone_lan - [0:0]

:zone_lan_ACCEPT - [0:0]

:zone_lan_DROP - [0:0]

:zone_lan_REJECT - [0:0]

:zone_lan_forward - [0:0]

:zone_wan - [0:0]

:zone_wan_ACCEPT - [0:0]

:zone_wan_DROP - [0:0]

:zone_wan_REJECT - [0:0]

:zone_wan_forward - [0:0]

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood 

-A INPUT -j input_rule 

-A INPUT -j input 

-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 

-A FORWARD -j forwarding_rule 

-A FORWARD -j forward 

-A FORWARD -j reject 

-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 

-A OUTPUT -o lo -j ACCEPT 

-A OUTPUT -j output_rule 

-A OUTPUT -j output 

-A forward -i br-lan -j zone_lan_forward 

-A forward -i eth0.2 -j zone_wan_forward 

-A forward -i pptp-pptp -j zone_wan_forward 

-A input -i br-lan -j zone_lan 

-A input -i eth0.2 -j zone_wan 

-A input -i pptp-pptp -j zone_wan 

-A output -j zone_lan_ACCEPT 

-A output -j zone_wan_ACCEPT 

-A reject -p tcp -j REJECT --reject-with tcp-reset 

-A reject -j REJECT --reject-with icmp-port-unreachable 

-A syn_flood -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 25/sec --limit-burst 50 -j RETURN 

-A syn_flood -j DROP 

-A zone_lan -j input_lan 

-A zone_lan -j zone_lan_ACCEPT 

-A zone_lan_ACCEPT -o br-lan -j ACCEPT 

-A zone_lan_ACCEPT -i br-lan -j ACCEPT 

-A zone_lan_DROP -o br-lan -j DROP 

-A zone_lan_DROP -i br-lan -j DROP 

-A zone_lan_REJECT -o br-lan -j reject 

-A zone_lan_REJECT -i br-lan -j reject 

-A zone_lan_forward -j zone_wan_ACCEPT 

-A zone_lan_forward -j forwarding_lan 

-A zone_lan_forward -j zone_lan_REJECT 

-A zone_wan -p udp -m udp --dport 68 -j ACCEPT 

-A zone_wan -p icmp -m icmp --icmp-type 8 -j ACCEPT 

-A zone_wan -j input_wan 

-A zone_wan -j zone_wan_REJECT 

-A zone_wan_ACCEPT -o eth0.2 -j ACCEPT 

-A zone_wan_ACCEPT -i eth0.2 -j ACCEPT 

-A zone_wan_ACCEPT -o pptp-pptp -j ACCEPT 

-A zone_wan_ACCEPT -i pptp-pptp -j ACCEPT 

-A zone_wan_DROP -o eth0.2 -j DROP 

-A zone_wan_DROP -i eth0.2 -j DROP 

-A zone_wan_DROP -o pptp-pptp -j DROP 

-A zone_wan_DROP -i pptp-pptp -j DROP 

-A zone_wan_REJECT -o eth0.2 -j reject 

-A zone_wan_REJECT -i eth0.2 -j reject 

-A zone_wan_REJECT -o pptp-pptp -j reject 

-A zone_wan_REJECT -i pptp-pptp -j reject 

-A zone_wan_forward -j MINIUPNPD 

-A zone_wan_forward -j forwarding_wan 

-A zone_wan_forward -j zone_wan_REJECT 

COMMIT

# Completed on Sat Nov  4 11:03:42 2017
...全文
159 3 打赏 收藏 转发到动态 举报
写回复
用AI写文章
3 条回复
切换为时间正序
请发表友善的回复…
发表回复
qq_28512059 2017-11-06
  • 打赏
  • 举报
 回复
这论坛已经废了,估计没几个人了
清风絮语 2017-11-06
  • 打赏
  • 举报
 回复
人太少了,发了帖子都很少人回!
曹宇飞丶 2017-11-06
  • 打赏
  • 举报
 回复
添加两条规则在121行之前试试: iptables –A INPUT –p icmp --icmp-type echo-reply –j ACCEPT iptables –A OUTPUT –p icmp --icmp-type echo-request –j ACCEPT
iptables 企业级防火墙配置(四表五链)
# iptables 的主要作用是:    通过四表五链过滤数据包起到防御功能,同时也具有路由功能,即沟通不同网段和转发数据包即共享上网等等。iptables 不仅功能十分的强大,且使用非常的灵活,可以对流入和流出的数据包进行很精细的控制。同时它的数据包转发的效率也非常高,据悉在一台普通硬件设备上配置 iptables转发功能,在同时提供几百人共享上网环境下,好不逊色企业级专业路由器的转发效率。    所以 iptables(CentOS 7.x 之后叫做 firewalld)是一款与生俱来的、功能强大同时适应性强的 Linux 操作系统自带的一款优秀软件。    故理解iptables工作机理,学会配置iptables参数,对应 Linux 架构和运维人员就是一件一劳永逸重要工作。    本视频详细的论述了iptables 企业级防火墙从原理到配置,最后落实到实战部署的详尽过程。
CentOS7 解决无法自启iptables问题
CentOS7 解决无法自启iptables问题问题根源解决方案下面的命令会暂时地停止Firewalld服务,但此更改只对当前回话有效如果要永久地停用firewall,运行下面的命令参考 问题根源 CentOS7 默认的防火墙是firewalld,如果你装了iptables,那么系统重启时就会检测到有防火墙冲突导致firewalld和iptables都无法启动。如果你要使用iptables,就必须把firewalld彻底的禁止掉,并且防止它开机自启。下面是我的操作命令: 解决方案 下面的命令会暂时地停止Fi
关于centos7下的iptables问题
一:centos7下/etc/sysconfig/目录没有iptables问题 因为没有安装iptables,在新买的centos7服务器中想打开防火墙,采用传统centos6的方式用service iptables restart/stop/status; 解决方案:关闭firewall: [root@localhost ~]# systemctl stop firewalld.servi...
解决Docker容器 iptables问题
解决Docker容器 iptables问题 一、问题现象 最近在研究Docker容器日志管理时,启动容器出现iptables相关报错,具体问题如下 运行容器 [root@node-11 ~]# docker run -d -p 24224:24224 -p 24224:24224/udp -v /data:/fluentd/log fluent/fluentd 出现如下报错 docker: Err...
iptables问题和改进方案
转自:DPDK and XDP - 云+社区 - 腾讯云iptables是一个配置Linux内核防火墙的命令行工具,它基于内核的netfilter机制。新版本的内核(3.13+)也提供了nftables,用于取代ip...https://cloud.tencent.com/developer/article/1484793 iptables规则逐渐增加,遍历iptables效率变得很低,一个表现就是kube-proxy,他是Kubernetes的一个组件,容器要使用iptables和-j DNAT规则为服
系统维护与使用区

19,612

社区成员

74,603

社区内容

发帖
与我相关
我的任务
社区描述
系统使用、管理、维护问题。可以是Ubuntu, Fedora, Unix等等
社区管理员
  • 系统维护与使用区社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章