Подключался через ssh к серверу Fedora 23 и решил перезапустить iptables после добавления нового правила: systemctl restart iptables. Однако iptables никогда не перезагружался или перезагружался очень медленно (я ждал более 3 часов), что привело к блокировке всех соединений, вынудив меня пойти в центр обработки данных, чтобы перезапустить систему. После перезагрузки все было в порядке, поэтому я попробовал запустить systemctl restart iptables очередной раз. Произошло то же самое. Все соединения заблокированы и iptables -L требуется целая вечность, чтобы перечислить все правила. Почему это вызывает перезапуск iptables? Как безопаснее перезапустить iptables на Fedora?
Вот результат iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
DROP tcp -- anywhere pages33.mit.io tcp dpt:ssh state NEW recent: UPDATE seconds: 120 hit_count: 6 name: sshold2 side: source mask: 255.255.255.255
tcp -- anywhere pages33.mit.io tcp dpt:ssh state NEW recent: SET name: sshold2 side: source mask: 255.255.255.255
DROP tcp -- anywhere order.mit.io tcp dpt:ssh state NEW recent: UPDATE seconds: 120 hit_count: 6 name: sshold side: source mask: 255.255.255.255
tcp -- anywhere order.mit.io tcp dpt:ssh state NEW recent: SET name: sshold side: source mask: 255.255.255.255
DROP all -- loopback/8 anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -f 192.168.1.0/24 anywhere
ACCEPT all -f 10.0.1.0/24 anywhere
ACCEPT all -f 10.0.1.0/24 anywhere
ACCEPT all -f 10.0.1.0/24 anywhere
ACCEPT all -f 10.0.1.0/24 anywhere
ACCEPT all -f 10.0.1.0/24 anywhere
swatch_rejects all -- anywhere anywhere
ACCEPT tcp -- anywhere order.mit.io tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere multiport dports 50000:60000
ACCEPT tcp -- anywhere clic.brg.mit.io tcp dpt:http
ACCEPT tcp -- anywhere clic.brg.mit.io tcp dpt:https
ACCEPT tcp -- 123.123.123.0/21 lol.al.mit.io tcp dpt:http
ACCEPT tcp -- 123.123.123.0/21 lol.al.mit.io tcp dpt:https
ACCEPT tcp -- anywhere lol.al.mit.io source IP range xxxxx tcp dpt:http
ACCEPT tcp -- anywhere lol.al.mit.io source IP range xxxxx tcp dpt:https
ACCEPT tcp -- anywhere lol.al.mit.io source IP range xxxxx tcp dpt:http
ACCEPT tcp -- anywhere lol.al.mit.io source IP range xxxxx tcp dpt:https
ACCEPT tcp -- anywhere lol.al.mit.io source IP range xxxxx tcp dpt:http
ACCEPT tcp -- anywhere lol.al.mit.io source IP range xxxxx tcp dpt:https
DROP tcp -- anywhere lol.al.mit.io tcp dpt:http
DROP tcp -- anywhere lol.al.mit.io tcp dpt:https
ACCEPT tcp -- anywhere order.mit.io tcp dpt:ssh
ACCEPT tcp -- anywhere pages33.mit.io tcp dpt:ssh
ACCEPT tcp -- anywhere order.mit.io tcp dpt:http
ACCEPT tcp -- anywhere order.mit.io tcp dpt:https
ACCEPT udp -- anywhere anywhere udp dpt:ircu
ACCEPT udp -- anywhere anywhere udp dpt:ircu-2
ACCEPT udp -- anywhere pages.mit.io udp dpt:bootps
ACCEPT udp -- anywhere pages.mit.io udp dpt:bootpc
ACCEPT tcp -- anywhere pages.mit.io tcp dpt:bootps
ACCEPT tcp -- anywhere pages.mit.io tcp dpt:bootpc
ACCEPT !icmp -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere icmp echo-reply
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
DROP all -- anywhere anywhere ctstate NEW
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain swatch_rejects (1 references)
target prot opt source destination