У меня запущен iptables и применяются самые последние правила (т. Е. Я перезапустил службу, и она говорит, что все в порядке).
Я использовал system-config-firewall только для редактирования / определения каких-либо правил, поэтому у меня не должно быть ошибки, созданной вручную. Если я могу этого избежать, я не хочу редактировать его вручную.
Я думал, что он настроен так, что мои порты Apache 80 и 443 будут открыты, но не те, которые прослушивает Tomcat (т.е. 8080, 8443). Однако это не так ... Я могу без проблем просматривать их на любой машине.
В конечном итоге я хочу, чтобы порты Tomcat были доступны, но я не понимаю, почему они уже есть. Я ожидал, что мне нужно будет открыть их явно.
Кроме того, прежде чем я добавил правила для их явного открытия, все мои почтовые порты также были доступны (110, 143, 587, 993, 995...) Опять же, я хочу, чтобы они были открытыми, но я не понимаю, почему они всегда были?
Вот мой вывод iptables. Почему кажется, что все открыто? Может быть потому, что нет правил ВЫВОДА? Кроме того, почему правила кажутся повторяющимися? System-config-firewall не контролирует такие дубликаты? Как я могу это исправить? Полагаю, только вручную ...
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 2834 692K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 5 511 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
3 14 990 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
4 114 6717 ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0
5 0 0 ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0
6 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
7 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
8 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
9 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
10 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:993
11 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:995
12 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
13 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
14 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
15 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:993
16 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:995
17 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:110
18 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:143
19 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:587
20 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:465
21 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
3 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
4 0 0 ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0
5 0 0 ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0
6 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 3208 packets, 1537K bytes)
num pkts bytes target prot opt in out source destination
См. Строки 3, 4 и 5 в цепочке INPUT - эти правила разрешают прохождение любых пакетов для любых портов, поступающих с интерфейсов eth0, eth1 и lo. IPTables работает с правилом первого совпадения, поэтому, когда пакет получает первое правило, разрешающее / запрещающее его, оно применяется. Вам следует установить только правила для точного определения портов и отклонения любого другого трафика.