V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
P99LrYZVkZkg
V2EX  ›  问与答

centos 7 ip 在 reject 规则内,还一直能连服务器?

  •  
  •   P99LrYZVkZkg · 2017-11-26 20:05:23 +08:00 · 1871 次点击
    这是一个创建于 2554 天前的主题,其中的信息可能已经有所发展或是发生改变。

    困扰许久,一个 IP 一直在防火墙拒绝规则内,但是 netstat 状态却一直都是 ESTABLISHED

    各位指点一下。

    27 条回复    2017-11-28 12:13:14 +08:00
    BOYPT
        1
    BOYPT  
       2017-11-26 20:09:37 +08:00
    firewalld 太 tmd 复制,还是用 iptables 吧。
    e9e499d78f
        2
    e9e499d78f  
       2017-11-26 20:10:52 +08:00
    已经 established 的不受影响
    Lentin
        3
    Lentin  
       2017-11-26 21:10:29 +08:00
    SSH 进程重启试试
    P99LrYZVkZkg
        4
    P99LrYZVkZkg  
    OP
       2017-11-26 21:34:50 +08:00
    @e9e499d78f 那防火墙还管啥用呢?我是发现异常然后自动加 reject 规则,目的就是想把异常踢出去。
    P99LrYZVkZkg
        5
    P99LrYZVkZkg  
    OP
       2017-11-26 21:35:25 +08:00
    @BOYPT Centos 默认 firewalld 了,我想试验一下。
    e9e499d78f
        6
    e9e499d78f  
       2017-11-26 21:44:29 +08:00
    @P99LrYZVkZkg #4 你需要 conntrack
    kn007
        7
    kn007  
       2017-11-26 21:47:33 +08:00
    用 iptables 解决,你 reject 或 drop 后,之前的连接就会 gg 了。
    可能 firewalld 默认是对 new 进来的连接进行过滤吧,我上了 centos7,第一件就是禁用 firewalld,安装 iptables。
    kn007
        8
    kn007  
       2017-11-26 21:51:01 +08:00
    而且 firewalld 本身最终用的就是 iptables。
    Love4Taylor
        9
    Love4Taylor  
       2017-11-26 21:56:48 +08:00
    yum install -y iptables-services
    systemctl stop firewalld
    systemctl disable firewalld
    systemctl enable iptables

    firewalld 好烦的 我才不要用~
    hcymk2
        10
    hcymk2  
       2017-11-26 22:09:36 +08:00
    firewalld 对初学者,而且不想了解 iptables 的人蛮友好的。
    Havee
        11
    Havee  
       2017-11-26 22:12:29 +08:00
    就算 firewalld,也应该上 ipset 呀

    akira
        12
    akira  
       2017-11-26 22:16:24 +08:00
    一般防火墙会有一条,保持已建立的链接 。 你重启一下试试咯
    P99LrYZVkZkg
        13
    P99LrYZVkZkg  
    OP
       2017-11-26 23:25:50 +08:00
    @Love4Taylor 听你的建议,我换一个试试。
    msg7086
        14
    msg7086  
       2017-11-27 05:46:32 +08:00
    Established 又不受防火墙影响。
    你看这 TCP 连接就像一根绳子,你把门一关,绳子又不会断。只不过新的绳子连不进来了而已。
    dorothyREN
        15
    dorothyREN  
       2017-11-27 09:11:26 +08:00
    用 iptables,reject 后直接断开链接。
    P99LrYZVkZkg
        16
    P99LrYZVkZkg  
    OP
       2017-11-27 11:40:58 +08:00
    @msg7086 形象
    tempdban
        17
    tempdban  
       2017-11-27 17:49:35 +08:00   ❤️ 1
    1.input 链默认 Drop
    2.iptables -S 查看是否有类似如下规则:
    -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    如果有请删掉。稍后再加回来

    楼上几位说的都有一点点瑕疵,并不是说 Established 就不受防火墙影响,是因为有这条规则。
    多说一句,iptables 其实就是个包过滤器。不设置规则是不会对 tcp 状态检测的。
    tempdban
        18
    tempdban  
       2017-11-27 17:57:34 +08:00
    而且配置对该 ip 的报文 drop 掉的规则,例如:
    -A INPUT -s 192.168.122.0/24 -i virbr0 -j DROP
    可能并没有什么用。因为不加参数的话 新添加的规则优先级是最低的。
    走到这条规则(-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT )
    iptables 已经将报文放行了。
    P99LrYZVkZkg
        19
    P99LrYZVkZkg  
    OP
       2017-11-27 19:21:26 +08:00
    @tempdban 有这一条规则,请问这个规则怎么删除?
    -D INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

    -D就可以么?
    P99LrYZVkZkg
        20
    P99LrYZVkZkg  
    OP
       2017-11-27 19:32:16 +08:00
    @tempdban 感谢,这个防火墙每一条规则都要好好研究。iptables -S 是按照优先级排列的?
    tempdban
        21
    tempdban  
       2017-11-28 10:46:42 +08:00
    @P99LrYZVkZkg 是的
    P99LrYZVkZkg
        22
    P99LrYZVkZkg  
    OP
       2017-11-28 11:18:53 +08:00
    @tempdban 那条规则删除了,ESTABLISHED 还是一直在。
    P99LrYZVkZkg
        23
    P99LrYZVkZkg  
    OP
       2017-11-28 11:21:14 +08:00
    @tempdban 是那条规则删除后,reload 又出来了。
    tempdban
        24
    tempdban  
       2017-11-28 12:03:44 +08:00
    @P99LrYZVkZkg reload ?
    你要先把 firewalld 关掉
    这个东西会一直恢复策略的
    tempdban
        25
    tempdban  
       2017-11-28 12:05:39 +08:00
    @P99LrYZVkZkg 这条是要临时删除的
    或者把
    -A INPUT -s 192.168.122.0/24 -i virbr0 -j DROP
    插到 INPUT 链最上边
    P99LrYZVkZkg
        26
    P99LrYZVkZkg  
    OP
       2017-11-28 12:11:38 +08:00
    @tempdban 我添加的都是永久规则,不 reload 不生效。

    但是 reload 后,我删掉的 ESTABLISHED 又回来了。
    tempdban
        27
    tempdban  
       2017-11-28 12:13:14 +08:00
    @P99LrYZVkZkg ESTABLISHED 不要删掉。。。。我都说了稍后要加回来
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1540 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 17:18 · PVG 01:18 · LAX 09:18 · JFK 12:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.