Правила Iptables, как разрешить IP-адреса другого сервера
У меня 5 ips
1.1.1.1
1.1.1.2
1.1.1.3
1.1.1.4
1.1.1.5
я уже устанавливаю openvz & openvz webpanel в основной ip, затем создаю vps с ip 1.1.1.2
я не могу открыть 1.1.1.2, но если я отключаю брандмауэр iptables, я могу открыть его
service iptables save
service iptables stop
chkconfig iptables off
поэтому мне нужно включить брандмауэр iptables, каково правило, чтобы я мог разрешить серверу дополнительные ips (1.1.1.2-1.1.1.5) в /etc/sysconfig/iptables?
я пробовал это, но все еще не правильно
-A INPUT -s 1.1.1.2 -j ACCEPT
-A INPUT -s 1.1.1.2 -d 1.1.1.5 -p tcp -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --s 1.1.1.2 -j ACCEPT
-A INPUT -i eth0 -m iprange --src-range 1.1.1.2-1.1.1.5 -j ACCEPT
помогите пожалуйста ребята
это вывод iptables -L -n -v, если необходимо
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0 source IP range 1.1.1.2-1.1.1.6
9243 1597K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 92 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
1318 70268 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
1 60 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
197 17722 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
67 3375 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 10660 packets, 1713K bytes)
pkts bytes target prot opt in out source destination
это вывод ip a sh, если нужно
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: usb0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 36:40:b5:86:c5:6f brd ff:ff:ff:ff:ff:ff
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 34:40:b5:86:c5:6c brd ff:ff:ff:ff:ff:ff
inet 1.1.1.1/29 brd 1.1.1.7 scope global eth0
inet6 fe80::3640:b5ff:fe86:c56c/64 scope link
valid_lft forever preferred_lft forever
4: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 34:40:b5:86:c5:6d brd ff:ff:ff:ff:ff:ff
5: venet0: <BROADCAST,POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN
link/void
inet6 fe80::1/128 scope link
valid_lft forever preferred_lft forever
1 ответ
Было бы хорошо формализовать результаты исследований, проведенных в комментариях, в ответ, поэтому я сделаю это.
Другие IP-адреса (которые вы показываете как 1.1.1.2 - 1.1.1.5, которые, кстати , не следуют передовым методам обфускации общедоступных IP-адресов), назначаются не на сетевой адаптер вашего хоста-контейнера, а на гостевые образы в контейнерах, хотя это не совсем понятно как.
Это означает, что пакеты на эти адреса не считаются INPUT трафика, так как они маршрутизируются / соединяются через хост, и, следовательно, проходят через FORWARD цепь.
У вас есть только одно правило в вашем FORWARD цепь, и она отвергает все, поэтому ACCEPT политика в цепочке не поможет. Когда мы очистим FORWARD править, промывая цепь (iptables -F FORWARD), то ACCEPT политика вступает в игру, и движение начинает течь.
Если вы хотите немного больше безопасности на FORWARDВы можете попробовать правила, аналогичные тем, которые вы публикуете, но поместить их в FORWARD цепочки, убедитесь, что вы правильно различаете адреса отправителя и получателя, и не забудьте изменить политику цепочки на что-то другое ACCEPT как только вы их работаете.