besoin d'une règle iptables pour accepter tout le trafic entrant

34

Pour mon environnement de test, je veux accepter tout le trafic entrant, quelqu'un peut-il me donner la règle iptable à ajouter.

Ma sortie iptables -L -n actuelle ressemble à ceci

Target Source opt prot chaîne INPUT (politique ACCEPT)
destination ACCEPTER tous - 0.0.0.0/0 0.0.0.0/0
état RELATED, ESTABLISHED ACCEPTER icmp - 0.0.0.0/0
0.0.0.0/0 ACCEPTER tous - 0.0.0.0 / 0 0.0.0.0/0 ACCEPT tcp - 0.0.0.0/0 0.0.0.0/0 state NOUVEAU tcp dpt: 22 REJECT all - 0.0.0.0/0 0.0.0.0/0
rejette-avec icmp-host-prohibé ACCEPT tcp - 0.0.0.0/0
0.0.0.0/0 tcp dpt: 8443 ACCEPT tcp - 0.0.0.0/0 0.0.0.0/0 tcp dpt: 8080 ACCEPT tcp - 0.0.0.0/0 0.0.0.0/0 tcp dpt: 9443 ACCEPTER tcp - 0.0.0.0/0 0.0.0.0/0 tcp dpt: 2124

Chaîne AVANT (stratégie ACCEPTER) cible source de
destination opt opt REJET tout - 0.0.0.0/0 0.0.0.0/0
rejet avec icmp-host-prohibé

Chaîne SORTIE (politique ACCEPTER)
destination cible source de protection opt

Merci


la source

Réponses:

53

Exécutez ce qui suit. Il insérera la règle en haut de vos iptables et autorisera tout le trafic, sauf s'il est ensuite géré par une autre règle.

iptables -I INPUT -j ACCEPT

Vous pouvez également vider l'intégralité de votre configuration iptables avec les éléments suivants:

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

Si vous la rincez, vous voudrez peut-être exécuter quelque chose comme:

iptables -A INPUT -i lo -j ACCEPT -m comment --comment "Allow all loopback traffic"
iptables -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT -m comment --comment "Drop all traffic to 127 that doesn't use lo"
iptables -A OUTPUT -j ACCEPT -m comment --comment "Accept all outgoing"
iptables -A INPUT -j ACCEPT -m comment --comment "Accept all incoming"
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -m comment --comment "Allow all incoming on established connections"
iptables -A INPUT -j REJECT -m comment --comment "Reject all incoming"
iptables -A FORWARD -j REJECT -m comment --comment "Reject all forwarded"

Si vous voulez être un peu plus sûr avec votre trafic, n'utilisez pas la règle d'acceptation de tous les entrants ou supprimez-la avec "iptables -D INPUT -j ACCEPT -m comment --comment" Accepter tous les entrants "", et ajoutez plus des règles spécifiques comme:

iptables -I INPUT -p tcp --dport 80 -j ACCEPT -m comment --comment "Allow HTTP"
iptables -I INPUT -p tcp --dport 443 -j ACCEPT -m comment --comment "Allow HTTPS"
iptables -I INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT -m comment --comment "Allow SSH"
iptables -I INPUT -p tcp --dport 8071:8079 -j ACCEPT -m comment --comment "Allow torrents"

REMARQUE: Ils doivent être au-dessus des 2 règles de rejet en bas, utilisez donc I pour les insérer en haut. Ou si vous êtes anal comme moi, utilisez "iptables -nL --line-numbers" pour obtenir les numéros de ligne, puis utilisez "iptables -I INPUT ..." pour insérer une règle à un numéro de ligne spécifique.

Enfin, enregistrez votre travail avec:

iptables-save > /etc/network/iptables.rules #Or wherever your iptables.rules file is
Alex Atkinson
la source
1
Cette réponse a finalement mis fin à ma douleur. Cette réponse répond à la question "comment puis-je faire en sorte que # @ $ #% iptables fasse ce que je veux qu'il fasse et seulement ce que je veux qu'il fasse" La seule amélioration que je recommanderais serait d'ajouter un exemple de transfert d'un port. (c.-à-d., de 80 à 8080 et de 443 à 8443) Je pense que 99% des questions sur iptables recevraient une réponse en un seul message.
Eric Hartford
Un peu tard pour y revenir, mais ça y est. Rediriger le trafic d'un port à un autre: "iptables -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080". Il est assez facile de l'ajuster pour faire ce que vous voulez. La seule exigence est que les deux ports doivent être ouverts (via les entrées au-dessus de cette déclaration.) Profitez-en!
Alex Atkinson
16

pour accepter tout le trafic entrant, vous pouvez utiliser la commande suivante, -P consiste à définir la stratégie par défaut comme accepter

iptables -P INPUT ACCEPT  

si vous n'avez pas besoin de vos règles précédentes, rincez-les / supprimez-les puis utilisez la commande ci-dessus.
pour vider toutes les règles, utilisez

iptables -F    
Gangadhar
la source