OpenVPN 的 Linux IP 转发 - 正确的防火墙设置？

Question

Tristan

Asked: 2012-08-06 02:31:42 +0800 CST2012-08-06 02:31:42 +0800 CST 2012-08-06 02:31:42 +0800 CST

允许访问 iptable 中的 :8080 端口

我需要通过端口访问我的网站：8080 但出于某种原因，我不能：

在 serverfault 上搜索之后，我刚刚添加了：

iptables -I INPUT 1 -i lo -p tcp --dport 8080 -j ACCEPT

没有效果（即使在 iptable 重启之后）

如何允许访问port 8080（本地和外部，因为我要为清漆/apache2 设置的设置）？

编辑似乎在重新启动 iptable 后，允许端口 8080 的规则已经消失：

谢谢。

Akshet · Answer 1 · 2012-08-06T02:51:46+08:00

允许 iptables 中的特定端口：

规则的一般形式是：

-A INPUT -i <interface> -p <protocol> --dport <port> -j ACCEPT

-I INPUT <rule no.> -i <interface> -p <protocol> --dport <port> -j ACCEPT

规则编号：要添加此规则的链的索引。

Interface : 你不会申请这个规则的接口，如果你想要全部不要指定，例如eth0, lo。您可能想要指定 eth0。

协议：你想要它用于哪个协议，tcp/udp。TCP 在你的情况下

端口：端口号你想让它适用于。在你的情况下 8080

确保此规则在丢弃所有其他数据包规则之前。

您的声明不起作用的原因可能是因为您已将接口指定为lo而不是eth0

使规则永久化：

如果你只是使用命令行添加这条规则，当你重新启动时这条规则将被丢弃，因为 iptables 将从/etc/sysconfig/iptables. 所以如果你想让它永久化，你有两种选择。

利用iptable-save > /etc/sysconfig/iptables

这会将 iptables 配置保存到 iptables 文件，当您重新启动 pc 时将从中读取它。但如果您手动编辑该文件以添加评论，这些评论将会丢失。
手动编辑/etc/sysconfig/iptables文件以将此规则添加到正确的链中。这可确保保留您输入的评论。

PS：您可能需要找到您的 iptables 文件的位置和接口名称并进行相应的更改。

pQd · Answer 2 · 2012-08-06T02:46:36+08:00

pQd

您将接受规则限制在环回 [通过-i lo部分]。允许全球访问跳过该部分并运行：

iptables -I INPUT -p tcp --dport 8080 -j ACCEPT

为了获得最佳性能，您的 iptables 规则应从以下内容开始：

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

只有在那之后，其他规则才应该遵循。