centos 7 ip 在 reject 规则内,还一直能连服务器?

2017-11-26 20:05:23 +08:00
 P99LrYZVkZkg

困扰许久,一个 IP 一直在防火墙拒绝规则内,但是 netstat 状态却一直都是 ESTABLISHED

各位指点一下。

1889 次点击
所在节点    问与答
27 条回复
BOYPT
2017-11-26 20:09:37 +08:00
firewalld 太 tmd 复制,还是用 iptables 吧。
e9e499d78f
2017-11-26 20:10:52 +08:00
已经 established 的不受影响
Lentin
2017-11-26 21:10:29 +08:00
SSH 进程重启试试
P99LrYZVkZkg
2017-11-26 21:34:50 +08:00
@e9e499d78f 那防火墙还管啥用呢?我是发现异常然后自动加 reject 规则,目的就是想把异常踢出去。
P99LrYZVkZkg
2017-11-26 21:35:25 +08:00
@BOYPT Centos 默认 firewalld 了,我想试验一下。
e9e499d78f
2017-11-26 21:44:29 +08:00
@P99LrYZVkZkg #4 你需要 conntrack
kn007
2017-11-26 21:47:33 +08:00
用 iptables 解决,你 reject 或 drop 后,之前的连接就会 gg 了。
可能 firewalld 默认是对 new 进来的连接进行过滤吧,我上了 centos7,第一件就是禁用 firewalld,安装 iptables。
kn007
2017-11-26 21:51:01 +08:00
而且 firewalld 本身最终用的就是 iptables。
Love4Taylor
2017-11-26 21:56:48 +08:00
yum install -y iptables-services
systemctl stop firewalld
systemctl disable firewalld
systemctl enable iptables

firewalld 好烦的 我才不要用~
hcymk2
2017-11-26 22:09:36 +08:00
firewalld 对初学者,而且不想了解 iptables 的人蛮友好的。
Havee
2017-11-26 22:12:29 +08:00
就算 firewalld,也应该上 ipset 呀

akira
2017-11-26 22:16:24 +08:00
一般防火墙会有一条,保持已建立的链接 。 你重启一下试试咯
P99LrYZVkZkg
2017-11-26 23:25:50 +08:00
@Love4Taylor 听你的建议,我换一个试试。
msg7086
2017-11-27 05:46:32 +08:00
Established 又不受防火墙影响。
你看这 TCP 连接就像一根绳子,你把门一关,绳子又不会断。只不过新的绳子连不进来了而已。
dorothyREN
2017-11-27 09:11:26 +08:00
用 iptables,reject 后直接断开链接。
P99LrYZVkZkg
2017-11-27 11:40:58 +08:00
@msg7086 形象
tempdban
2017-11-27 17:49:35 +08:00
1.input 链默认 Drop
2.iptables -S 查看是否有类似如下规则:
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
如果有请删掉。稍后再加回来

楼上几位说的都有一点点瑕疵,并不是说 Established 就不受防火墙影响,是因为有这条规则。
多说一句,iptables 其实就是个包过滤器。不设置规则是不会对 tcp 状态检测的。
tempdban
2017-11-27 17:57:34 +08:00
而且配置对该 ip 的报文 drop 掉的规则,例如:
-A INPUT -s 192.168.122.0/24 -i virbr0 -j DROP
可能并没有什么用。因为不加参数的话 新添加的规则优先级是最低的。
走到这条规则(-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT )
iptables 已经将报文放行了。
P99LrYZVkZkg
2017-11-27 19:21:26 +08:00
@tempdban 有这一条规则,请问这个规则怎么删除?
-D INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

-D就可以么?
P99LrYZVkZkg
2017-11-27 19:32:16 +08:00
@tempdban 感谢,这个防火墙每一条规则都要好好研究。iptables -S 是按照优先级排列的?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/409701

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX