precisa da regra iptables para aceitar todo o tráfego recebido

34

Para o meu ambiente de teste, quero aceitar todo o tráfego recebido, alguém pode me fornecer a regra iptable a ser adicionada.

Minha saída atual do iptables -L -n se parece com isso

Destino da entrada de cadeia (política ACEITAR) destino de origem de
proteção de opção ACEITAR todos - 0.0.0.0/0 0.0.0.0/0
estado RELACIONADO, ESTABELECIDO ACEITAR icmp - 0.0.0.0/0
0.0.0.0/0 ACEITAR todos - 0.0.0.0 / 0 0.0.0.0/0 ACEITAR tcp - 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt: 22 REJEITAR tudo - 0.0.0.0/0 0.0.0.0/0
rejeitar com ICMP-host-proibido ACCEPT tcp - 0.0.0.0/0
0.0.0.0/0 tcp dpt: 8443 ACEITAR tcp - 0.0.0.0/0 0.0.0.0/0 tcp dpt: 8080 ACEITAR tcp - 0.0.0.0/0 0.0.0.0/0 tcp dpt: 9443 ACEITAR tcp - 0.0.0.0/0 0.0.0.0/0 tcp dpt: 2124

Destino da cadeia FORWARD (política ACEITAR) destino de origem da
proteção opt REJECT all - 0.0.0.0/0 0.0.0.0/0
rejeitar-com icmp-host-proibido

Chain OUTPUT (política ACCEPT) fonte opt prot alvo
destino

obrigado


fonte

Respostas:

53

Execute o seguinte. Ele inserirá a regra na parte superior das suas tabelas de ip e permitirá todo o tráfego, a menos que seja tratado posteriormente por outra regra.

iptables -I INPUT -j ACCEPT

Você também pode liberar toda a configuração do iptables com o seguinte:

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

Se você liberá-lo, convém executar algo como:

iptables -A INPUT -i lo -j ACCEPT -m comment --comment "Allow all loopback traffic"
iptables -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT -m comment --comment "Drop all traffic to 127 that doesn't use lo"
iptables -A OUTPUT -j ACCEPT -m comment --comment "Accept all outgoing"
iptables -A INPUT -j ACCEPT -m comment --comment "Accept all incoming"
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -m comment --comment "Allow all incoming on established connections"
iptables -A INPUT -j REJECT -m comment --comment "Reject all incoming"
iptables -A FORWARD -j REJECT -m comment --comment "Reject all forwarded"

Se você quiser ser um pouco mais seguro com seu tráfego, não use a regra aceitar todas as entradas ou remova-a com "iptables -D INPUT -j ACCEPT -m comment --comment" Aceite todas as entradas "" e adicione mais regras específicas como:

iptables -I INPUT -p tcp --dport 80 -j ACCEPT -m comment --comment "Allow HTTP"
iptables -I INPUT -p tcp --dport 443 -j ACCEPT -m comment --comment "Allow HTTPS"
iptables -I INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT -m comment --comment "Allow SSH"
iptables -I INPUT -p tcp --dport 8071:8079 -j ACCEPT -m comment --comment "Allow torrents"

NOTA: Eles precisam estar acima das 2 regras de rejeição na parte inferior, então use I para inseri-las na parte superior. Ou, se você é anal como eu, use "iptables -nL --line-numbers" para obter os números de linha e, em seguida, use "iptables -I INPUT ..." para inserir uma regra em um número de linha específico.

Por fim, salve seu trabalho com:

iptables-save > /etc/network/iptables.rules #Or wherever your iptables.rules file is
Alex Atkinson
fonte
11
Esta resposta finalmente terminou minha dor. Esta resposta aborda a pergunta "como faço para que # @ $ #% iptables faça o que quero e apenas o que quero"? A única melhoria que eu recomendaria é adicionar um exemplo de encaminhamento de uma porta. (ou seja, de 80 a 8080 e 443 a 8443) Acho que 99% das perguntas sobre o iptables seriam respondidas em um único post.
Eric Hartford
Um pouco tarde, voltando a isso, mas aqui está. Redirecionando o tráfego de uma porta para outra: "iptables -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080". É fácil ajustá-lo para fazer o que você quiser. O único requisito é que ambas as portas estejam abertas (através das entradas acima desta declaração.) Aproveite!
Alex Atkinson
16

para aceitar todo o tráfego recebido, você pode usar o seguinte comando, -P é definir a política padrão como

iptables -P INPUT ACCEPT  

se você não precisar de suas regras anteriores, limpe / remova-as e use o comando acima.
para liberar todas as regras, use

iptables -F    
Gangadhar
fonte