iptables + icmp

[winglet 10]

Moja konfiguracja iptables:

Chain INPUT (policy DROP)
num  target 	prot opt source           	destination
1	ACCEPT 	all  --  0.0.0.0/0        	0.0.0.0/0
2	ACCEPT 	icmp --  0.0.0.0/0        	0.0.0.0/0       	icmp type 8
3	ACCEPT 	tcp  --  0.0.0.0/0        	0.0.0.0/0       	tcp dpt:80
4	ACCEPT 	tcp  --  0.0.0.0/0        	0.0.0.0/0       	tcp dpt:53
5	ACCEPT 	udp  --  0.0.0.0/0        	0.0.0.0/0       	udp dpt:53
6	ACCEPT 	tcp  --  0.0.0.0/0        	0.0.0.0/0       	state ESTABLISHED
7	ACCEPT 	udp  --  0.0.0.0/0        	0.0.0.0/0       	state ESTABLISHED
8	ACCEPT 	icmp --  0.0.0.0/0        	0.0.0.0/0       	state ESTABLISHED
9	LOG    	all  --  0.0.0.0/0        	0.0.0.0/0       	LOG flags 0 level 4
10   DROP   	all  --  0.0.0.0/0        	0.0.0.0/0

Chain FORWARD (policy DROP)
num  target 	prot opt source           	destination

Chain OUTPUT (policy DROP)
num  target 	prot opt source           	destination
1	ACCEPT 	icmp --  0.0.0.0/0        	0.0.0.0/0       	icmp type 8

 

Problem w tym że przy tej konfiguracji nie mogę pingować swojego serwera.

Ktoś wie gdzie jest błąd?

Czy taka konfiguracja dla serwera www wystarczy? Co ewentualnie można by dodać?

[beliq 442]

ICMP typ 8 to pytanie, ICMP typ 0 odpowiedź na pytanie.

Typ 8 jest wysyłany w kierunku serwera ( ping )i masz pozwalającą na to regułkę w łańcuchu INPUT.

Typ 0 jest wysyłany z serwera do nadawcy ( pong ) i tu masz błąd w łańcuchu OUTPUT, bo użyłeś ponownie kodu 8 zamiast 0.

Popraw to i powinno działać.

[winglet 10]

Dzięki za pomoc. Poprawiłem i wszystko działa.

[winglet 10]

Nie wiem czy to wina konfiruacji iptables, ale ciągle po krótkim czasie serwer odłącza się od sieci wyrzucając "The connection has timed out".

Jeśli serwer zresetuję to przez jakiś czas wszystko ładnie chodzi, mogę wchodzić na własną stronę, pingować.

Jednak jeśli strona jest nieużywana to serwer jest już nie dostępny.

Od czego to może być zależne? Mam VPS OPENVZ Debian 6.

Edytowano Lipiec 7, 2011 przez winglet (zobacz historię edycji)