客户端和服务端均属于内网分别是

客户端: 10.173.32.75/21
服务端: 10.173.32.78/21

目前客户希望内网的 10.173.32.78 的3306端口只能被10.173.32.75 连接。

开启防火墙并配置规则如下:

[root@server ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.21 on Fri Oct 20 10:01:35 2017
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [41:4460]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A INPUT -s 10.173.32.75/32 -p tcp -m tcp --dport 3306 -j ACCEPT
COMMIT
# Completed on Fri Oct 20 10:01:35 2017

然后经过测试发现，对端10.173.32.75 无法连接到服务端的3306端口

服务端

[root@server ~]# nc -l 3306 < 1.txt

客户提示没有路由

[root@client ~]# nc -n 10.173.32.78 3306
Ncat: No route to host.

解决

1.关闭防火墙测试没问题。说明99.9%是和防火墙的设置有关系。
2.测试上面配置文件中的第二条规则，连接22端口

[root@client ~]# nc -n 10.173.32.78 22
SSH-2.0-OpenSSH_6.6.1

发现没有问题，猜测是下面的2条规则出现了问题

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

3.调整规则顺序，因为 iptables的规则是按顺序匹配的。

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 10.173.32.75/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

调整为如上规则后重启防火墙


[root@server ~]# vim /etc/sysconfig/iptables
[root@server ~]# systemctl restart iptables
[root@server ~]# nc -l 3306 < 1.txt
111

客户端测试，OK了。

[root@client ~]# nc -n 10.173.32.78 3306
111

那为什么为这样呢？我们先来看这两条规则的含义

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

REJECT：拒绝请求，详见:DROP 和REJECT的区别
–reject-with 后面跟上的是 icmp-host-prohibited。

这两条的意思是在INPUT表和FORWARD表中拒绝所有其他不符合上述任何一条规则的数据包。并且发送一条host prohibited 的消息给被拒绝的主机。

host prohibited 是icmp 协议状态的一种，其他的如:

icmp-net-unreachable        ICMP network unreachable
net-unreach                 alias
icmp-host-unreachable       ICMP host unreachable
host-unreach                alias
icmp-proto-unreachable      ICMP protocol unreachable
proto-unreach               alias
icmp-port-unreachable       ICMP port unreachable (default)
port-unreach                alias
icmp-net-prohibited         ICMP network prohibited
net-prohib                  alias
icmp-host-prohibited        ICMP host prohibited
host-prohib                 alias
tcp-reset                   TCP RST packet
tcp-rst                     alias
icmp-admin-prohibited       ICMP administratively prohibited (*)
admin-prohib                alias

因为这两条规则的存在，其他任何数据包只要在其下面的都会被拒绝。所以需要调整期执行顺序。

文章作者：阿文

文章链接： https://www.awen.me/post/48192.html

0 条评论

😀😃😄 😁😅😂 🤣😊😇 🙂🙃😉 😌😍🥰 😘😗😙 😚😋😛 😝😜🤪 🤨🧐🤓 😎🥸🤩 🥳😏😒 😞😔😟 😕🙁☹️ 😣😖😫 😩🥺😢 😭😤😠 😡🤬🤯 😳🥵🥶 😱😨😰 😥😓🤗 🤔🤭🤫 🤥😶😐 😑😬🙄 😯😦😧 😮😲🥱 😴🤤😪 😵🤐🥴 🤢🤮🤧 😷🤒🤕 🤑🤠😈 👿👹👺 🤡💩👻 💀☠️👽 👾🤖🎃 😺😸😹 😻😼😽 🙀😿😾 👍👎👏 🙌👐🤲 🤝🤜🤛 ✌️🤞🤟 🤘👌🤏 👈👉👆 👇☝️✋ 🤚🖐️🖖 👋🤙💪 🦾🖕✍️ 🙏💅🤳 💯💢💥 💫💦💨 🕳️💣💬 👁️‍🗨️🗨️🗯️ 💭💤❤️ 🧡💛💚 💙💜🖤 🤍🤎💔 ❣️💕💞 💓💗💖 💘💝💟 ☮️✝️☪️ 🕉️☸️✡️ 🔯🕎☯️ ☦️🛐⛎ ♈♉♊ ♋♌♍ ♎♏♐ ♑♒♓ 🆔⚛️🉑 ☢️☣️📴 📳🈶🈚 🈸🈺🈷️ ✴️🆚💮 🉐㊙️㊗️ 🈴🈵🈹 🈲🅰️🅱️ 🆎🆑🅾️ 🆘❌⭕ 🛑⛔📛 🚫💯💢 ♨️🚷🚯 🚳🚱🔞 📵🚭❗ ❕❓❔ ‼️⁉️🔅 🔆〽️⚠️ 🚸🔱⚜️ 🔰♻️✅ 🈯💹❇️ ✳️❎🌐 💠Ⓜ️🌀 💤🏧🚾 ♿🅿️🈳 🈂🛂🛃 🛄🛅🛗 🚀🛸🚁 🚉🚆🚅 ✈️🛫🛬 🛩️💺🛰️

您的评论由 AI 智能审核，一般1分钟内会展示，若不展示请确认你的评论是否符合社区和法律规范

加载中...

深夜提醒

新年快乐

解决

评论

选择联系方式

留言反馈