Назад | Перейти на главную страницу

Проблема FsockOpen с Iptables внутри OpenVZ VM

У меня есть виртуальная машина на debian. Я внес некоторые изменения в HN, чтобы разрешить межсетевой экран с сохранением состояния внутри vm (http://wiki.openvz.org/Setting_up_an_iptables_firewall).

Вот мой сценарий межсетевого экрана:

# Flushing all rules
iptables -F
iptables -X

# Setting default filter policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Allow unlimited traffic on loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Allow all related and established tcp connections to my_machine.
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

# Https In
iptables -A INPUT -p tcp -s 0/0 --sport 513:65535 --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

# Allow ping
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

# Allow incoming ssh only
iptables -A INPUT -p tcp -s 0/0 --sport 513:65535 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

# make sure nothing comes
iptables -A INPUT -j DROP

# Allow all outgoing connection
iptables -A OUTPUT -j ACCEPT

iptables -L

iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp spts:login:65535 dpt:https state NEW,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     tcp  --  anywhere             anywhere            tcp spts:login:65535 dpt:ssh state NEW,ESTABLISHED
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Когда я пытаюсь использовать fsockopen. Это не удается. Зачем ?

заранее спасибо

Я добавляю это правило, и у меня все нормально:

# Allow DNS client request
iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT