icmp,tcp,traceroute,ping,iptables
有东莞的监控主机到北京BGP出问题了; 报警短信疯狂发送; 找东莞IDC和北京BGP服务商协查;
有个奇怪的问题;北京到东莞trcaceroute都有路由信息
东莞143段到北京全无路由信息;但,东莞151段到北京就有路由信息;
检查143段和151段的iptables配置;发现有细微的差别:
143:
# Generated by iptables-save v1.3.5 on Fri Dec 19 17:00:58 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3815024465:25962152950339]
......
-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j DROP
-A OUTPUT -m conntrack --ctstate NEW -j ACCEPT
COMMIT
# Completed on Fri Dec 19 17:00:58 2014
151:
# Generated by iptables-save v1.4.7 on Fri Dec 19 17:01:18 2014
*filter
:INPUT ACCEPT [158253008:8885848717]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [108990300717:428153347609533]
.................
-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A OUTPUT -m conntrack --ctstate NEW -j ACCEPT
COMMIT
# Completed on Fri Dec 19 17:01:18 2014
有注意到:
-A INPUT -j DROP --------------------------------------->ping的时候是output;traceroute的时候每个路由节点回返回包;
而规则-A OUTPUT -m conntrack --ctstate NEW -j ACCEPT默认是TCP协议;而ping/traceroute使用的是icmp协议;
-A INPUT -p tcp -m tcp --dport 22 -j DROP----------------->这个仅仅drop了22端口,此外其他都是放行的;
====
优化143段配置如:
#-A INPUT -p icmp -j ACCEPT------------------------------------------>添加这一条规则
-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j DROP
#-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A OUTPUT -m conntrack --ctstate NEW -j ACCEPT
COMMIT
# Completed on Fri Dec 19 17:05:26 2014
最新文章
- SqlServer 事务回滚(1)
- asp控件Repeater运用
- 获取手机IMEI 号和 IP
- poj2528(线段树+离散化)Mayor's posters
- 검색엔진의 크롤링과 인덱싱의 차이 (robots.txt 파일과 meta robots 태그의 차이점)
- lr 自带的例子,如何进行关联,通过代码的函数进行实现
- 第八届河南省赛F.Distribution(水题)
- 【Linux探索之旅】第一部分测试题
- .NET Reflector 7.6.1.824安装及破解(刚试了,绝对能用)
- CentOS 6.4 升级python 2.6.6 到 python 2.7.9
- TLD算法原理2--学习理解之(三)
- css3中的关键帧技术分析应用
- WPF 列表虚拟化时的滚动方式
- 06-HTML-表格标签
- DAX创建带有过滤器的超链接
- 服务 Service 简单案例 MD
- spring boot(十四)shiro登录认证与权限管理
- flask小例
- H - Tickets dp
- wcf 中客户端调用之死 感悟 wcf与原来的webservice2.0 的客户端调用区别(wcf调用完不关闭的话那就把web服务搞死了)