O comando não iptables reconhece uma das opções mais usadas na definição de regras: --dport
.
Eu recebo este erro:
[root@dragonweyr /home/calyodelphi]# iptables -A INPUT --dport 7777 -j ACCEPT_TCP_UDP
iptables v1.4.7: unknown option `--dport'
Try `iptables -h' or 'iptables --help' for more information.
O comando add rule acima é apenas um exemplo para habilitar conexões Terraria.
Aqui está o que eu tenho atualmente como uma configuração de barebones iptables (com listiptables
alias para iptables -L -v --line-numbers
), e é óbvio que --dport
funcionou no passado:
root@dragonweyr /home/calyodelphi]# listiptables
Chain INPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 39 4368 ACCEPT all -- lo any anywhere anywhere
2 114 10257 ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
3 1 64 ACCEPT tcp -- eth1 any anywhere anywhere tcp dpt:EtherNet/IP-1
4 72 11610 ACCEPT all -- eth1 any anywhere anywhere
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 91 packets, 10045 bytes)
num pkts bytes target prot opt in out source destination
Chain ACCEPT_TCP_UDP (0 references)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT tcp -- any any anywhere anywhere
Também estou tentando definir uma cadeia personalizada (inspirada nesta pergunta ) para aceitar conexões tcp e udp, para que eu não precise definir duas regras para tudo o que desejo ativar para tcp e udp (como Minecraft ou Servidor Terraria ou outro serviço totalmente). Mas mesmo isso não funciona:
[root@dragonweyr /home/calyodelphi]# iptables -P ACCEPT_TCP_UDP DROP
iptables: Bad built-in chain name.
Isso está ficando muito frustrante, em termos educados (a quantidade de xingamentos envolvidos com isso faria um marinheiro me dizer para observar minha boca). Meu Google-fu é terrível, então ainda não encontrei uma solução que funcione para isso. Estou executando o CentOS 6.5 no roteador. Qualquer ajuda e sugestões que vocês possam oferecer seria incrível.
EDITAR:
Pergunta de bônus: também estou planejando configurar o encaminhamento de porta. Ainda é necessário definir regras para aceitar conexões de entrada em portas específicas?
fonte
-p all
e recebi exatamente o mesmo erro.unknown option --dport
. Funcionou com-p tcp
isso, mas isso realmente não vai me ajudar neste caso, uma vez que apenas leva ao mesmo problema: definir regras individuais de tcp / udp para tudo.all
nunca funcionou com a especificação de uma porta. No entanto, em vez de ter várias regras para diferentes protocolos, você pode pensar sobre as regras em uma direção diferente. Crie regras com base no protocolo e use amultiports
opção para agrupar algumas regras.-p ICMP --dport whatever
também não funcionaria, por razões óbvias).O protocolo (-p) é necessário se você usar --dport. Exemplo:
fonte
@dmourati e @diegows já responderam sua primeira pergunta, então abordarei sua segunda pergunta. E pergunta de bônus. E também vou dar uma dica de bônus;)
iptables -P
aceita apenas cadeias incorporadas. Nafilter
mesa, que seriaINPUT
,OUTPUT
eFORWARD
cadeias.O encaminhamento de porta não é tratado pela
INPUT
cadeia, portanto você não precisa abrir a porta naINPUT
cadeia. Porém, ele é manipulado pelaFORWARD
corrente. Tenha cuidado com isso.Dica de bônus: ao aprender e / ou solucionar problemas
iptables
, a saída deiptables-save
cabeças e ombros é melhor do que a saída deiptables -L -v --line-numbers
. Experimente, você ficará surpreso :)fonte
iptables
problemas da-save
saída; por que você acha isso melhor do queiptables -L -n -v [--line-numbers]
?--dport
opções realmente disponíveis-p tcp
. Você também pode ver como / quando o processamento de regras salta de uma cadeia interna (por exemplo, INPUT) para uma cadeia personalizada (por exemplo, ACCEPT_TCP_UDP). Essas duas informações importantes não são visíveis na saída deiptables -L -n
.iptables-save > somefile
, editarsomefile
usando o vim e depoisiptables-apply -t 600 somefile
testá-lo. Se eu me bloquear inadvertidamente, após 600 segundos as regras serão revertidas.iptables-save
para me ajudar a aprender com um despejo bruto de configuração antes de fazer essa pergunta. Eu não esperava que aFORWARD
cadeia estivesse onde eu precisava prestar atenção no encaminhamento de portas. Vou ter que ler sobre isso.