У меня 5 дюймов в секунду
1.1.1.1
1.1.1.2
1.1.1.3
1.1.1.4
1.1.1.5
Я уже устанавливаю веб-панель openvz и openvz в основной ip, затем создаю vps с ip 1.1.1.2
Я не могу открыть 1.1.1.2, но если я отключу брандмауэр iptables, я могу открыть его
service iptables save
service iptables stop
chkconfig iptables off
поэтому мне нужно включить брандмауэр iptables, каково правило, чтобы я мог разрешить серверу дополнительные IP-адреса (1.1.1.2-1.1.1.5) в / etc / sysconfig / iptables?
Я пробовал это, но все равно не правильно
-A INPUT -s 1.1.1.2 -j ACCEPT
-A INPUT -s 1.1.1.2 -d 1.1.1.5 -p tcp -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --s 1.1.1.2 -j ACCEPT
-A INPUT -i eth0 -m iprange --src-range 1.1.1.2-1.1.1.5 -j ACCEPT
пожалуйста, помогите ребята
это вывод iptables -L -n -v, если необходимо
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0 source IP range 1.1.1.2-1.1.1.6
9243 1597K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 92 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
1318 70268 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
1 60 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
197 17722 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
67 3375 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 10660 packets, 1713K bytes)
pkts bytes target prot opt in out source destination
это вывод ip a sh, если нужно
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: usb0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 36:40:b5:86:c5:6f brd ff:ff:ff:ff:ff:ff
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 34:40:b5:86:c5:6c brd ff:ff:ff:ff:ff:ff
inet 1.1.1.1/29 brd 1.1.1.7 scope global eth0
inet6 fe80::3640:b5ff:fe86:c56c/64 scope link
valid_lft forever preferred_lft forever
4: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 34:40:b5:86:c5:6d brd ff:ff:ff:ff:ff:ff
5: venet0: <BROADCAST,POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN
link/void
inet6 fe80::1/128 scope link
valid_lft forever preferred_lft forever
Было бы хорошо формализовать расследования, проведенные в комментариях, в ответ, так что я сделаю это.
Другие IP-адреса (которые вы показываете как 1.1.1.2–1.1.1.5, которые, кстати, не следует передовой практике обфускации общедоступных IP-адресов) не назначаются сетевой карте вашего хоста контейнеризации, а присваиваются контейнерным гостевым образам, хотя не совсем ясно, как это сделать.
Это означает, что пакеты на эти адреса не считаются INPUT трафик, поскольку они маршрутизируются / проходят через хост и, следовательно, проходят через FORWARD цепь.
У вас есть только одно правило в вашем FORWARD цепи, и он все отвергает, поэтому ACCEPT политика в цепочке не помогает. Когда мы очищаем FORWARD правило, промывая цепь (iptables -F FORWARD), ACCEPT политика вступает в игру, и трафик начинает течь.
Если вы хотите немного большей безопасности FORWARDed traffic, вы можете попробовать правила, аналогичные тем, которые вы публикуете, но поместите их в FORWARD цепи, убедитесь, что вы правильно различаете источник и место назначения адресов, и не забудьте изменить политику цепочки на что-то другое, кроме ACCEPT как только они у вас работают.