这就是我所拥有的。
双宿主 FreePBX 盒。一切都像冠军一样。eth0 是外部的。eth1 是内部的。SIP 提供商位于 216.234.xx
我正在尝试配置 iptables 以允许来自 eth1 和 lo 的所有内容。但只允许来自 216.234.xx 的流量
这是我添加的当前 iptables 规则。
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -s 216.234.x.x/32 -j ACCEPT
-A OUTPUT -j ACCEPT
我一按进入...
iptables -A INPUT -i eth0 - j DROP
入站音频停止工作。
然后,当我删除该规则时,它再次起作用。我不知所措。
谢谢,
听起来很适合在 DROP 之前添加 LOG 规则,看看您是否能够发现一些必要的流量被意外丢弃。
你需要的是状态防火墙——只允许一个方向的数据包显然是没有用的。
幸运的是,conntrack 很聪明,因此您不必如此。
确保第一条规则是
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT,不要再担心 - SIP 助手将有望捕获不同 IP 的问题。您还可以阅读有关 conntrack 匹配接受的确切参数的 iptables 联机帮助页,以便将来更好地使用它。
还请记住,连接助手的自动设置最终将被处理掉,因此虽然您目前只能将 RELATED 应用于所有内容,但在不久的将来,内核可能会破坏它。