Как узнать, чего не хватает в моих iptables, почему он блокирует мою передачу AWS?

Я использую ManageWP для резервного копирования WordPress на моем VPS, а затем загружаю его в Amazon S3. Сбой "Ошибка 503 Служба недоступна" в части загрузки, когда у меня работает iptables. Когда служба iptables остановлена, загрузка AWS работает просто отлично.

В прошлом я использовал для этого блестящее приложение Ubuntu, но сейчас я использую CentOS VPS, я не уверен, как это сделать с консоли. Я прочитал iptables: узнать, какой пакет заблокирован по какому правилу? но, к сожалению, большая часть этого прошла через мою голову.

Какую команду я могу использовать, чтобы увидеть, какие соединения устанавливаются из моего VPS в / из Amazon AWS, когда iptables выключен, и блокируются, когда iptables включен?

# iptables -L -v -n
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
22496   11M acctboth   all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2096
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2095
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2083
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2082
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2087
    5   430 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2086
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
  639  131K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
   81  5236 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:53
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:465
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:587
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:993
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:143
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:995
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:110
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25
   96  6076 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:990
18974 1719K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:49152:65535
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:20
   17  1235 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
 2568 9070K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
   43  2780 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
   73 11665 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:993
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2078
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:53
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:21
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2082
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:443
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2077
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:26
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8080
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:143
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:995
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:110
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:25
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2086
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2087
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2095
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:465
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2096
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:3306
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2083
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:53

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 9269 packets, 60M bytes)
 pkts bytes target     prot opt in     out     source               destination
 9269   60M acctboth   all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain acctboth (2 references)
 pkts bytes target     prot opt in     out     source               destination
 5597   50M            tcp  --  !lo    *       XXX.XX.XX.86         0.0.0.0/0           tcp dpt:80
18611 1009K            tcp  --  !lo    *       0.0.0.0/0            XXX.XX.XX.86        tcp spt:80
    0     0            tcp  --  !lo    *       XXX.XX.XX.86         0.0.0.0/0           tcp dpt:25
    0     0            tcp  --  !lo    *       0.0.0.0/0            XXX.XX.XX.86        tcp spt:25
    0     0            tcp  --  !lo    *       XXX.XX.XX.86         0.0.0.0/0           tcp dpt:110
    0     0            tcp  --  !lo    *       0.0.0.0/0            XXX.XX.XX.86        tcp spt:110
    2   160            icmp --  !lo    *       XXX.XX.XX.86         0.0.0.0/0
    0     0            icmp --  !lo    *       0.0.0.0/0            XXX.XX.XX.86
 6696   51M            tcp  --  !lo    *       XXX.XX.XX.86         0.0.0.0/0
19858 1453K            tcp  --  !lo    *       0.0.0.0/0            XXX.XX.XX.86
   20  1666            udp  --  !lo    *       XXX.XX.XX.86         0.0.0.0/0
   20  3925            udp  --  !lo    *       0.0.0.0/0            XXX.XX.XX.86
 6718   51M            all  --  !lo    *       XXX.XX.XX.86         0.0.0.0/0
19878 1457K            all  --  !lo    *       0.0.0.0/0            XXX.XX.XX.86
    0     0            tcp  --  !lo    *       XXX.XX.XX.87         0.0.0.0/0           tcp dpt:80
    0     0            tcp  --  !lo    *       0.0.0.0/0            XXX.XX.XX.87        tcp spt:80
    0     0            tcp  --  !lo    *       XXX.XX.XX.87         0.0.0.0/0           tcp dpt:25
    0     0            tcp  --  !lo    *       0.0.0.0/0            XXX.XX.XX.87        tcp spt:25
    0     0            tcp  --  !lo    *       XXX.XX.XX.87         0.0.0.0/0           tcp dpt:110
    0     0            tcp  --  !lo    *       0.0.0.0/0            XXX.XX.XX.87        tcp spt:110
    4   320            icmp --  !lo    *       XXX.XX.XX.87         0.0.0.0/0
    0     0            icmp --  !lo    *       0.0.0.0/0            XXX.XX.XX.87
    0     0            tcp  --  !lo    *       XXX.XX.XX.87         0.0.0.0/0
    4   208            tcp  --  !lo    *       0.0.0.0/0            XXX.XX.XX.87
    6  1067            udp  --  !lo    *       XXX.XX.XX.87         0.0.0.0/0
    6   433            udp  --  !lo    *       0.0.0.0/0            XXX.XX.XX.87
   10  1387            all  --  !lo    *       XXX.XX.XX.87         0.0.0.0/0
   10   641            all  --  !lo    *       0.0.0.0/0            XXX.XX.XX.87
28599   61M            all  --  !lo    *       0.0.0.0/0            0.0.0.0/0

И вывод iptables-save:

# iptables-save
# Generated by iptables-save v1.4.7 on Fri Jun 15 00:33:26 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [12433:68011185]
:acctboth - [0:0]
-A INPUT -j acctboth
-A INPUT -p tcp -m tcp --dport 2096 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2095 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2083 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2082 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2087 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2086 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 990 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 49152:65535 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p tcp -m state --state NEW -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2078 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2082 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2077 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 26 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 995 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2086 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2087 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2095 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 465 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2096 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2083 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -j acctboth
-A acctboth -s XXX.XX.XX.86/32 ! -i lo -p tcp -m tcp --dport 80
-A acctboth -d XXX.XX.XX.86/32 ! -i lo -p tcp -m tcp --sport 80
-A acctboth -s XXX.XX.XX.86/32 ! -i lo -p tcp -m tcp --dport 25
-A acctboth -d XXX.XX.XX.86/32 ! -i lo -p tcp -m tcp --sport 25
-A acctboth -s XXX.XX.XX.86/32 ! -i lo -p tcp -m tcp --dport 110
-A acctboth -d XXX.XX.XX.86/32 ! -i lo -p tcp -m tcp --sport 110
-A acctboth -s XXX.XX.XX.86/32 ! -i lo -p icmp
-A acctboth -d XXX.XX.XX.86/32 ! -i lo -p icmp
-A acctboth -s XXX.XX.XX.86/32 ! -i lo -p tcp
-A acctboth -d XXX.XX.XX.86/32 ! -i lo -p tcp
-A acctboth -s XXX.XX.XX.86/32 ! -i lo -p udp
-A acctboth -d XXX.XX.XX.86/32 ! -i lo -p udp
-A acctboth -s XXX.XX.XX.86/32 ! -i lo
-A acctboth -d XXX.XX.XX.86/32 ! -i lo
-A acctboth -s XXX.XX.XX.87/32 ! -i lo -p tcp -m tcp --dport 80
-A acctboth -d XXX.XX.XX.87/32 ! -i lo -p tcp -m tcp --sport 80
-A acctboth -s XXX.XX.XX.87/32 ! -i lo -p tcp -m tcp --dport 25
-A acctboth -d XXX.XX.XX.87/32 ! -i lo -p tcp -m tcp --sport 25
-A acctboth -s XXX.XX.XX.87/32 ! -i lo -p tcp -m tcp --dport 110
-A acctboth -d XXX.XX.XX.87/32 ! -i lo -p tcp -m tcp --sport 110
-A acctboth -s XXX.XX.XX.87/32 ! -i lo -p icmp
-A acctboth -d XXX.XX.XX.87/32 ! -i lo -p icmp
-A acctboth -s XXX.XX.XX.87/32 ! -i lo -p tcp
-A acctboth -d XXX.XX.XX.87/32 ! -i lo -p tcp
-A acctboth -s XXX.XX.XX.87/32 ! -i lo -p udp
-A acctboth -d XXX.XX.XX.87/32 ! -i lo -p udp
-A acctboth -s XXX.XX.XX.87/32 ! -i lo
-A acctboth -d XXX.XX.XX.87/32 ! -i lo
-A acctboth ! -i lo
COMMIT
# Completed on Fri Jun 15 00:33:26 2012

1 ответ

Как сказано в сообщении, вы можете использовать счетчики iptables, чтобы увидеть, какое правило применяется при отправке нового запроса. Команда для использования: iptables -L -n -v,

Также вы можете использовать любой инструмент захвата пакетов (например, wireshark или tcpdump), чтобы увидеть пакеты, попадающие на ваш брандмауэр. Вы можете по ошибке открыть / закрыть неправильный порт (ы).

Чтобы получить лучшую помощь, вы можете опубликовать наши правила iptables, используя iptables-save,

Другие вопросы по тегам