| Thread Previous • Date Previous • Date Next • Thread Next |
Hej Mogens Mogens Melander skrev:
Nu vil jeg ikke vove at kalde mig selv en iptables-haj, så det her kan bare blive et par observationer/råd.Er der en iptables haj, der kan få øje på hvad der er problemet med nedenstående regler.
Dine regler ser umiddelbart fornuftige ud - omend der er nogle af dem, som jeg ville slette, da de er uden virkning, f.eks. de her:
-A INPUT -d 127.0.0.1 -i eth1 -j DROP -A INPUT -s 127.0.0.1 -i eth1 -j DROP
Så vidt jeg kan se, vil de aldrig blive aktiveret, da du ikke kan få en pakke adresseret til 127.0.0.1 ind gennem eth1 - den vil aldrig komme ud af den sendende maskine.
Jeg ville også sætte reglerne med RELATED,ESTABLISHED forrest i kæderne, da det er dem, der tager det meste af slæbet.
Nu til rådet: Prøv at sætte et par regler med logning sidst i INPUT- og FORWARD-kæderne:
iptabels -A INPUT -j LOG iptables -A FORWARD -j LOGDe vil logge alle de pakker, der vil blive DROPet af din standardpolitik ("default policy" på nydansk). Kig så i systemloggen og se, hvad det i grunden er, der bliver droppet.
Mvh Bent
| Thread Previous • Date Previous • Date Next • Thread Next |
