Я использую fwbuilder и пробовал настроить правила, которые позволяют lo
интерфейс и исходный ip 127.0.0.1
, следующим образом:
$IPTABLES -A INPUT -i lo -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -o lo -m state --state NEW -j ACCEPT
...
$IPTABLES -A INPUT -s 127.0.0.1 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -s 127.0.0.1 -m state --state NEW -j ACCEPT
Соединение работает нормально, но почему я вижу несколько из этих ошибок в /var/log/syslog
??
RULE 4 -- DENY IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=43254 DF PROTO=TCP SPT=47654 DPT=4949 WINDOW=256 RES=0x00 ACK PSH FIN URGP=0
ОБНОВИТЬ: выход iptables -L -v
Вы можете показать все свои правила? Чтобы решить вашу проблему, просто составьте правила:
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
Вы отклоняете пакеты INVALID и UNTRACKED на вашем интерфейсе обратной связи.
Это может привести к отбрасыванию пакетов icmp среди других.
Проверять, выписываться http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html#STATEMACHINE и человек iptables
Вы только позволяете -m state --state NEW
. Предполагая, что у вас также есть RELATED, ESTABLISHED
правило, вы увидите несколько отклонений пакетов, как указано выше, с ACK PSH FIN
или некоторые другие не новые флаги, которые трекер состояния ядра не распознает как часть установленного или связанного соединения. Обычно это происходит вскоре после перезапуска iptables и, таким образом, перезагрузки модулей отслеживания соединений.