Команда не IPtables больше не признает один из наиболее часто используемых вариантов при определении правил: --dport
.
Я получаю эту ошибку:
[root@dragonweyr /home/calyodelphi]# iptables -A INPUT --dport 7777 -j ACCEPT_TCP_UDP
iptables v1.4.7: unknown option `--dport'
Try `iptables -h' or 'iptables --help' for more information.
Приведенная выше команда add rule является лишь примером для включения соединений Terraria.
Вот то, что я сейчас имею в качестве базовой конфигурации iptables (с listiptables
псевдонимом iptables -L -v --line-numbers
), и очевидно, что --dport
она работала в прошлом:
root@dragonweyr /home/calyodelphi]# listiptables
Chain INPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 39 4368 ACCEPT all -- lo any anywhere anywhere
2 114 10257 ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
3 1 64 ACCEPT tcp -- eth1 any anywhere anywhere tcp dpt:EtherNet/IP-1
4 72 11610 ACCEPT all -- eth1 any anywhere anywhere
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 91 packets, 10045 bytes)
num pkts bytes target prot opt in out source destination
Chain ACCEPT_TCP_UDP (0 references)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT tcp -- any any anywhere anywhere
Я также пытаюсь определить пользовательскую цепочку (вдохновленную этим вопросом ) для приема соединений tcp & udp, чтобы мне не нужно было определять два правила для всего, для чего я хочу включить tcp и udp (например, Minecraft или Сервер Terraria или другой сервис целиком). Но даже это не работает:
[root@dragonweyr /home/calyodelphi]# iptables -P ACCEPT_TCP_UDP DROP
iptables: Bad built-in chain name.
Это становится очень разочаровывающим, в вежливых терминах (количество ругательств, связанных с этим, заставило бы моряка сказать мне, чтобы я смотрел на меня). Мой Google-фу ужасен, так что мне еще предстоит найти работающее решение для всего этого. Я использую CentOS 6.5 на роутере. Любая помощь и указатели, которые вы, ребята, можете предложить, были бы потрясающими.
РЕДАКТИРОВАТЬ:
Бонусный вопрос: я также планирую настроить переадресацию портов. Все еще необходимо установить правила для приема входящих соединений через определенные порты?
источник
-p all
и я получил точно такую же ошибку.unknown option --dport
, Это сработало,-p tcp
но на самом деле это не поможет мне в этом случае, поскольку приводит к одной и той же проблеме: определению индивидуальных правил tcp / udp для всего.all
никогда не работал с указанием порта. Однако вместо нескольких правил для разных протоколов вы можете думать о правилах в другом направлении. Создайте правила на основе протокола, а затем используйтеmultiports
опцию, чтобы сгруппировать некоторые правила вместе.-p ICMP --dport whatever
по понятным причинам также не будет работать).Протокол (-p) требуется, если вы используете --dport. Пример:
источник
@dmourati и @diegows уже ответили на ваш первый вопрос, поэтому я займусь вашим вторым вопросом. И бонусный вопрос. И я тоже добавлю бонусный совет;)
iptables -P
принимает только встроенные цепи. Вfilter
таблице, которая была быINPUT
,OUTPUT
иFORWARD
цепи.Переадресация портов не обрабатывается
INPUT
цепочкой, поэтому вам не нужно открывать порт вINPUT
цепочке. Это действительно обрабатываетсяFORWARD
цепочкой, хотя. Будьте осторожны с этим.Дополнительный совет: при обучении и / или поиске и устранении неисправностей
iptables
результат наiptables-save
голову выше, чем на выходеiptables -L -v --line-numbers
. Попробуйте, вы будете приятно удивлены :)источник
iptables
проблемы из-save
результатов; почему ты находишь это лучше чемiptables -L -n -v [--line-numbers]
?--dport
опциями на самом деле-p tcp
впереди. Вы также можете увидеть, как / когда обработка правил переходит со встроенной цепочки (например, INPUT) на пользовательскую цепочку (например, ACCEPT_TCP_UDP). Эти две важные данные не отображаются в выводеiptables -L -n
.iptables-save > somefile
, редактироватьsomefile
с помощью vim, а затем делать,iptables-apply -t 600 somefile
чтобы проверить его. Если я случайно заблокирую себя, через 600 секунд правила отменяются.iptables-save
чтобы помочь себе извлечь уроки из сырого конфигурационного дампа, прежде чем задал этот вопрос. Однако я не ожидал, чтоFORWARD
цепь будет там, где мне нужно обратить внимание на переадресацию портов. Я должен буду прочитать об этом.