iptables 配置问题。军哥帮忙！

yurec

80端等端口不能访问

1. [root@localhost ~]# iptables -L -n
   
2. Chain INPUT (policy ACCEPT)
   
3. target     prot opt source               destination         
   
4. ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
   
5. ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
   
6. INPUT_direct  all  --  0.0.0.0/0            0.0.0.0/0           
   
7. INPUT_ZONES_SOURCE  all  --  0.0.0.0/0            0.0.0.0/0           
   
8. INPUT_ZONES  all  --  0.0.0.0/0            0.0.0.0/0           
   
9. DROP       all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID
   
10. REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
    
11. 
    
12. Chain FORWARD (policy ACCEPT)
    
13. target     prot opt source               destination         
    
14. ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    
15. ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
    
16. FORWARD_direct  all  --  0.0.0.0/0            0.0.0.0/0           
    
17. FORWARD_IN_ZONES_SOURCE  all  --  0.0.0.0/0            0.0.0.0/0           
    
18. FORWARD_IN_ZONES  all  --  0.0.0.0/0            0.0.0.0/0           
    
19. FORWARD_OUT_ZONES_SOURCE  all  --  0.0.0.0/0            0.0.0.0/0           
    
20. FORWARD_OUT_ZONES  all  --  0.0.0.0/0            0.0.0.0/0           
    
21. DROP       all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID
    
22. REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
    
23. 
    
24. Chain OUTPUT (policy ACCEPT)
    
25. target     prot opt source               destination         
    
26. OUTPUT_direct  all  --  0.0.0.0/0            0.0.0.0/0           
    
27. 
    
28. Chain FORWARD_IN_ZONES (1 references)
    
29. target     prot opt source               destination         
    
30. FWDI_public  all  --  0.0.0.0/0            0.0.0.0/0           [goto]
    
31. FWDI_public  all  --  0.0.0.0/0            0.0.0.0/0           [goto]
    
32. 
    
33. Chain FORWARD_IN_ZONES_SOURCE (1 references)
    
34. target     prot opt source               destination         
    
35. 
    
36. Chain FORWARD_OUT_ZONES (1 references)
    
37. target     prot opt source               destination         
    
38. FWDO_public  all  --  0.0.0.0/0            0.0.0.0/0           [goto]
    
39. FWDO_public  all  --  0.0.0.0/0            0.0.0.0/0           [goto]
    
40. 
    
41. Chain FORWARD_OUT_ZONES_SOURCE (1 references)
    
42. target     prot opt source               destination         
    
43. 
    
44. Chain FORWARD_direct (1 references)
    
45. target     prot opt source               destination         
    
46. 
    
47. Chain FWDI_public (2 references)
    
48. target     prot opt source               destination         
    
49. FWDI_public_log  all  --  0.0.0.0/0            0.0.0.0/0           
    
50. FWDI_public_deny  all  --  0.0.0.0/0            0.0.0.0/0           
    
51. FWDI_public_allow  all  --  0.0.0.0/0            0.0.0.0/0           
    
52. ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
    
53. 
    
54. Chain FWDI_public_allow (1 references)
    
55. target     prot opt source               destination         
    
56. 
    
57. Chain FWDI_public_deny (1 references)
    
58. target     prot opt source               destination         
    
59. 
    
60. Chain FWDI_public_log (1 references)
    
61. target     prot opt source               destination         
    
62. 
    
63. Chain FWDO_public (2 references)
    
64. target     prot opt source               destination         
    
65. FWDO_public_log  all  --  0.0.0.0/0            0.0.0.0/0           
    
66. FWDO_public_deny  all  --  0.0.0.0/0            0.0.0.0/0           
    
67. FWDO_public_allow  all  --  0.0.0.0/0            0.0.0.0/0           
    
68. 
    
69. Chain FWDO_public_allow (1 references)
    
70. target     prot opt source               destination         
    
71. ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
    
72. 
    
73. Chain FWDO_public_deny (1 references)
    
74. target     prot opt source               destination         
    
75. 
    
76. Chain FWDO_public_log (1 references)
    
77. target     prot opt source               destination         
    
78. 
    
79. Chain INPUT_ZONES (1 references)
    
80. target     prot opt source               destination         
    
81. IN_public  all  --  0.0.0.0/0            0.0.0.0/0           [goto]
    
82. IN_public  all  --  0.0.0.0/0            0.0.0.0/0           [goto]
    
83. 
    
84. Chain INPUT_ZONES_SOURCE (1 references)
    
85. target     prot opt source               destination         
    
86. 
    
87. Chain INPUT_direct (1 references)
    
88. target     prot opt source               destination         
    
89. 
    
90. Chain IN_public (2 references)
    
91. target     prot opt source               destination         
    
92. IN_public_log  all  --  0.0.0.0/0            0.0.0.0/0           
    
93. IN_public_deny  all  --  0.0.0.0/0            0.0.0.0/0           
    
94. IN_public_allow  all  --  0.0.0.0/0            0.0.0.0/0           
    
95. ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
    
96. 
    
97. Chain IN_public_allow (1 references)
    
98. target     prot opt source               destination         
    
99. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:4500 ctstate NEW
    
100. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:1701 ctstate NEW
     
101. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW
     
102. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:500 ctstate NEW
     
103. ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0            ctstate NEW
     
104. ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0            ctstate NEW
     
105. 
     
106. Chain IN_public_deny (1 references)
     
107. target     prot opt source               destination         
     
108. 
     
109. Chain IN_public_log (1 references)
     
110. target     prot opt source               destination         
     
111. 
     
112. Chain OUTPUT_direct (1 references)
     
113. target     prot opt source               destination         
     
114. [root@localhost ~]#

复制代码

我在服务器上安装了

1. wget --no-check-certificate https://raw.githubusercontent.com/teddysun/across/master/l2tp.sh

复制代码

导致无法访问80 等端口。按照

1. https://www.vpser.net/security/linux-iptables.html

复制代码

1. #允许本地回环接口(即运行本机访问本机)
   
2. iptables -A INPUT -i lo -j ACCEPT
   
3. # 允许已建立的或相关连的通行
   
4. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
   
5. #允许所有本机向外的访问
   
6. iptables -A OUTPUT -j ACCEPT
   
7. # 允许访问22端口
   
8. iptables -A INPUT -p tcp --dport 22 -j ACCEPT
   
9. #允许访问80端口
   
10. iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    
11. #允许访问443端口
    
12. iptables -A INPUT -p tcp --dport 443 -j ACCEPT
    
13. #允许FTP服务的21和20端口
    
14. iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    
15. iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    
16. #如果有其他端口的话，规则也类似，稍微修改上述语句就行
    
17. #允许ping
    
18. iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
    
19. #禁止其他未允许的规则访问
    
20. iptables -A INPUT -j REJECT  #（注意：如果22端口未加入允许规则，SSH链接会直接断开。）
    
21. iptables -A FORWARD -j REJECT

复制代码

添加了端口还是无法访问。。
但是我将规则全部清空以后 可以正常访问。

1. iptables -F
   
2. iptables -X
   
3. iptables -Z

复制代码

求助军哥帮助。。。看看iptables 配置 是哪里出错了。

[ 本帖最后由 yurec 于 2017-5-10 16:53 编辑 ]

licess

80端口允许规则-A 用 -I 添加后看一下