Я всю ночь просматриваю и читаю документацию и не могу придумать никакого решения ...
Я пытаюсь заставить iptables работать на моем VPS (Debian 7).
Но я не могу получить ответ на установленное соединение. В "-m state --state"
а также "-m conntrack --ctstate"
оба не работают. Оба результата приводят к iptables: Нет цепочки / цели / совпадения с этим именем.
Насколько я понял, состояние было передано на аутсорсинг из iptables, а conntrack не установлен в моей системе и не может быть установлен, потому что у меня нет доступа к ядру к системе сетевых интерфейсов. Я пытался установить его с нуля, но обе попытки (из пакетов и из исходников) не увенчались успехом. Я изменил систему на Ubuntu 14.04, но это тоже не сработало.
Есть ли какое-нибудь обходное решение или что-нибудь еще, что я могу сделать? Я регулярно использую PF с OpenBSD в качестве брандмауэра, поэтому я не очень хорошо знаком с iptables.
Вот правила, которые я добавляю - может, я что-то забыл?
iptalbes -F
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j DROP
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -m tcp -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m tcp -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m tcp -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -j LOG
iptables -A INPUT -j DROP
Все правила, кроме указанного, работают нормально!
Я нашел этот вопрос здесь раньше, но не было никаких полезных ответов или решений.
Заранее благодарен за любую помощь :)
Существует ли модуль ядра nf_conntrack в / lib / modules // kernel / net / netfilter / и загружен ли он? Если существует, попробуйте:
modprobe nf_conntrack