Назад | Перейти на главную страницу

Сообщается, что соединения iptable localhost заблокированы, но работают нормально

Я использую fwbuilder и пробовал настроить правила, которые позволяют lo интерфейс и исходный ip 127.0.0.1, следующим образом:

$IPTABLES -A INPUT -i lo   -m state --state NEW  -j ACCEPT
$IPTABLES -A OUTPUT -o lo   -m state --state NEW  -j ACCEPT

...

$IPTABLES -A INPUT  -s 127.0.0.1   -m state --state NEW  -j ACCEPT
$IPTABLES -A OUTPUT  -s 127.0.0.1   -m state --state NEW  -j ACCEPT

Соединение работает нормально, но почему я вижу несколько из этих ошибок в /var/log/syslog ??

RULE 4 -- DENY IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=43254 DF PROTO=TCP SPT=47654 DPT=4949 WINDOW=256 RES=0x00 ACK PSH FIN URGP=0

ОБНОВИТЬ: выход iptables -L -v

Вы можете показать все свои правила? Чтобы решить вашу проблему, просто составьте правила:

/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

Вы отклоняете пакеты INVALID и UNTRACKED на вашем интерфейсе обратной связи.
Это может привести к отбрасыванию пакетов icmp среди других.

Проверять, выписываться http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html#STATEMACHINE и человек iptables

Вы только позволяете -m state --state NEW. Предполагая, что у вас также есть RELATED, ESTABLISHED правило, вы увидите несколько отклонений пакетов, как указано выше, с ACK PSH FIN или некоторые другие не новые флаги, которые трекер состояния ядра не распознает как часть установленного или связанного соединения. Обычно это происходит вскоре после перезапуска iptables и, таким образом, перезагрузки модулей отслеживания соединений.