跟大家分享一个 iptables 的教训

2016-05-25 23:38:07 +08:00
 shiji
我前几天把我的 iptables 改成这样的,加了前三行(我以为这三行也是能 flush 掉的):

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j ACCEPT
。。。等等。。

然后遇到了点别的问题,想 flush 一下 iptables 看看是不是防火墙的问题。


然后就悲剧了。。。

悲剧了。。。

服务器就这么失联了。。

iDRAC 的密码我还一时想不起来,找机房人工重启。。。

还是默认 accept , 最后一行-A INPUT -j DROP 靠谱一些。
2995 次点击
所在节点    问与答
19 条回复
DesignerSkyline
2016-05-25 23:38:54 +08:00
为何不用 ufw ,不是很理解
ETiV
2016-05-26 00:37:20 +08:00
吃一堑长一智就好。。。

我吃了起码 3 次这个亏,才长记性……
kslr
2016-05-26 00:43:27 +08:00
哈哈哈,我第一次也是这样,把自己给挡到外面了
windfarer
2016-05-26 01:53:24 +08:00
把自己挡在外面是每一个玩 iptables 的人的必经之路= =
ryd994
2016-05-26 02:50:36 +08:00
感谢分享
我一般是用 iptables-save 和 iptables-restore 的
skydiver
2016-05-26 04:31:02 +08:00
为何不用 firewalld ,不太理解
shiji
2016-05-26 05:47:39 +08:00
@DesignerSkyline
@skydiver
习惯了,就不想换别的了
wd
2016-05-26 06:34:14 +08:00
我 10 年前的经验
改之前先加一个 5 分钟后清空所有规则的 cron
如果有问题 5 分钟后自动恢复
xiaobu
2016-05-26 08:52:42 +08:00
@wd 确实是个好方法
shiji
2016-05-26 10:09:04 +08:00
@xiaobu 那得看清空所有规则的命令是啥,,反正 iptables -F 对于我这次遇到的情况肯定是不行。。。
xiaobu
2016-05-26 13:22:54 +08:00
@shiji 可以直接 crontab 五分钟后关闭 iptables
julyclyde
2016-05-26 15:56:44 +08:00
-P 和最后一行-A 有什么区别么?
zent00
2016-05-26 16:16:22 +08:00
@wd 你是以前 LinuxSir 的那个 wd 么?
t6attack
2016-05-26 16:18:50 +08:00
win 服务器也一样,新手配置自带防火墙,稍不留神就把远程桌面端口给禁了。
wd
2016-05-26 19:08:34 +08:00
@zent00 卧槽熟人么 是的
ipchy
2016-05-26 19:13:42 +08:00
在需要调试防火墙的时候,写一个计划任务,每隔几分钟关闭一次,或者重启,总之,留条后路
colorfulberry
2016-05-26 21:33:27 +08:00
ssh 都是要留着的, 第一件事情。。。。
zent00
2016-05-27 16:44:16 +08:00
@wd 你是我在 V2EX 发现的第三个 LinuxSir 的朋友了,你应该不知道我,不过我印象中你常出现在 Arch 和 Debian 版块。
wd
2016-05-27 20:45:34 +08:00
@zent00 嗯是的 之前做过 arch 的版主

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/281278

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX