V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
shiji
V2EX  ›  问与答

跟大家分享一个 iptables 的教训

  •  
  •   shiji · 2016-05-25 23:38:07 +08:00 · 3056 次点击
    这是一个创建于 3090 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我前几天把我的 iptables 改成这样的,加了前三行(我以为这三行也是能 flush 掉的):

    -P INPUT DROP
    -P FORWARD DROP
    -P OUTPUT DROP
    -A INPUT -i lo -j ACCEPT
    -A INPUT -d 127.0.0.0/8 -j ACCEPT
    。。。等等。。

    然后遇到了点别的问题,想 flush 一下 iptables 看看是不是防火墙的问题。


    然后就悲剧了。。。

    悲剧了。。。

    服务器就这么失联了。。

    iDRAC 的密码我还一时想不起来,找机房人工重启。。。

    还是默认 accept , 最后一行-A INPUT -j DROP 靠谱一些。
    19 条回复    2016-05-27 20:45:34 +08:00
    DesignerSkyline
        1
    DesignerSkyline  
       2016-05-25 23:38:54 +08:00
    为何不用 ufw ,不是很理解
    ETiV
        2
    ETiV  
       2016-05-26 00:37:20 +08:00
    吃一堑长一智就好。。。

    我吃了起码 3 次这个亏,才长记性……
    kslr
        3
    kslr  
       2016-05-26 00:43:27 +08:00 via Android
    哈哈哈,我第一次也是这样,把自己给挡到外面了
    windfarer
        4
    windfarer  
       2016-05-26 01:53:24 +08:00
    把自己挡在外面是每一个玩 iptables 的人的必经之路= =
    ryd994
        5
    ryd994  
       2016-05-26 02:50:36 +08:00
    感谢分享
    我一般是用 iptables-save 和 iptables-restore 的
    skydiver
        6
    skydiver  
       2016-05-26 04:31:02 +08:00 via iPad
    为何不用 firewalld ,不太理解
    shiji
        7
    shiji  
    OP
       2016-05-26 05:47:39 +08:00 via Android
    @DesignerSkyline
    @skydiver
    习惯了,就不想换别的了
    wd
        8
    wd  
       2016-05-26 06:34:14 +08:00 via iPhone   ❤️ 3
    我 10 年前的经验
    改之前先加一个 5 分钟后清空所有规则的 cron
    如果有问题 5 分钟后自动恢复
    xiaobu
        9
    xiaobu  
       2016-05-26 08:52:42 +08:00
    @wd 确实是个好方法
    shiji
        10
    shiji  
    OP
       2016-05-26 10:09:04 +08:00
    @xiaobu 那得看清空所有规则的命令是啥,,反正 iptables -F 对于我这次遇到的情况肯定是不行。。。
    xiaobu
        11
    xiaobu  
       2016-05-26 13:22:54 +08:00
    @shiji 可以直接 crontab 五分钟后关闭 iptables
    julyclyde
        12
    julyclyde  
       2016-05-26 15:56:44 +08:00
    -P 和最后一行-A 有什么区别么?
    zent00
        13
    zent00  
       2016-05-26 16:16:22 +08:00
    @wd 你是以前 LinuxSir 的那个 wd 么?
    t6attack
        14
    t6attack  
       2016-05-26 16:18:50 +08:00
    win 服务器也一样,新手配置自带防火墙,稍不留神就把远程桌面端口给禁了。
    wd
        15
    wd  
       2016-05-26 19:08:34 +08:00 via iPhone
    @zent00 卧槽熟人么 是的
    ipchy
        16
    ipchy  
       2016-05-26 19:13:42 +08:00
    在需要调试防火墙的时候,写一个计划任务,每隔几分钟关闭一次,或者重启,总之,留条后路
    colorfulberry
        17
    colorfulberry  
       2016-05-26 21:33:27 +08:00
    ssh 都是要留着的, 第一件事情。。。。
    zent00
        18
    zent00  
       2016-05-27 16:44:16 +08:00 via iPhone
    @wd 你是我在 V2EX 发现的第三个 LinuxSir 的朋友了,你应该不知道我,不过我印象中你常出现在 Arch 和 Debian 版块。
    wd
        19
    wd  
       2016-05-27 20:45:34 +08:00 via iPhone
    @zent00 嗯是的 之前做过 arch 的版主
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2677 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 10:03 · PVG 18:03 · LAX 02:03 · JFK 05:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.