IPTables + SSH动态端口转发=阻塞
IPTables + SSH动态端口转发=阻塞
提问于 2012-01-29 14:14:30
IPTables正在我的web服务器上运行。我确实需要SSH动态端口转发,但是我的IPTables删除了任何输入/输出连接,只允许一些端口。
对于前向链,我写了以下规则:
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcpflags:! 0x17/0x02 state NEW
ACCEPT all -f 0.0.0.0/0 0.0.0.0/0 limit: avg 100/sec burst 100
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 2/sec burst 10
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID我的规则可以阻止任何SSH动态端口转发连接。
我需要写什么规则?不要告诉我要“禁用IPTables",我需要防火墙来防破解。
回答 2
Server Fault用户
回答已采纳
发布于 2012-01-29 14:48:14
我想webserver的输入链已经允许ssh了,请原谅我问了显而易见的问题。
现在,对于动态(-D)隧道,您还需要启用来自webserver (那里的任何本地端口)到所需的远程主机(S)和它们的端口(S)的输出。所谓远程,我指的是那些你想通过你的动态隧道真正连接到的东西。
因此,如果计划使用隧道连接端口443上的主机1.2.3.4,则需要允许then服务器上从任何端口输出到1.2.3.4:443。
前向链在这里是完全无关的。
Server Fault用户
发布于 2012-01-29 15:18:41
为了澄清@kubanczyk的答案,前向链是不相关的,因为它只适用于发送到本地主机以外的地址的传入数据包,该地址应该通过本地主机路由。由于ssh守护进程在tcp/22上接受连接(输入链),然后代表客户端(由于-D)启动连接(输出链),因此不会发生数据包转发。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/354739
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号