Разрешить загрузку через iptables
Я использую iptables на Centos 7, но не могу обновлять или устанавливать пакеты, пока включен iptables. Какой порт должен быть принят в iptables, чтобы разрешить обновление / установку yum?
yum по умолчанию использует TCP-порт 80. Вы можете добавить правило в IP-таблицы следующим образом:
# iptables -I INPUT 5 -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
При необходимости измените свой интерфейс с eth0 на em0. Убедитесь, что добавленное вами правило находится над правилом отклонения.
Источники:
Недавно добавлены некоторые правила для портов 53,80,443, но я все еще не могу update / install. Вот сценарий, который я использую для установки правил:
#!/bin/sh
# flush all
iptables -t filter -F
iptables -t filter -X
# Deny i/o
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
# Established co
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
# ICMP
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
# SSH
iptables -t filter -A INPUT -p tcp --dport 666 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --sport 666 -j ACCEPT
# DNS
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --sport 53 -j ACCEPT
# FTP
iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --sport 20:21 -j ACCEPT
# HTTP/S
iptables -t filter -A INPUT -p tcp --dport 80:443 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --sport 80:443 -j ACCEPT
Добавлены эти правила и всегда блокируются при попытке обновления / установки:
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --sport 80 -j ACCEPT
Есть идеи?
{{ 1}}Если ваша политика drop, то вам нужно добавить эти правила.
как пользователь с привилегиями:
modprobe conntrack
iptables -I INPUT 6 -p tcp -m tcp --sport http -m conntrack --ctstate ESTABLISHED -j ACCEPT -m comment --comment "http input port 80"
iptables -I OUTPUT 6 -p tcp -m tcp --dport http -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT -m comment --comment "http output port 80"
HTTP означает порт (80)
комментарии позволяют определить правила на IPtables.