Не добавляется правило iptables

06.01.17

✎

12:19

делаю
# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
# service iptables restart
[root@centos1c sysconfig]# iptables-save
выдает:
# Generated by iptables-save v1.4.7 on Fri Jan 6 12:13:53 2017
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8805:3697083]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 1322 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7392 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p udp -m multiport --dports 137,138 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp -m multiport --dports 139,445 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -p tcp -m tcp --dport 7392 -j ACCEPT
COMMIT
# Completed on Fri Jan 6 12:13:53 2017
[root@centos1c sysconfig]#

1 arsik

гуру

06.01.17

✎

12:40

(0) А зачем ты его рестартиш?
после
# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
Уже все работает.
Если тебе надо, что бы при загрузке сразу правило появилось,то нужно смотреть откуда демон iptables эти правила берет.

2 Ufo_Attack

06.01.17

✎

12:45

После добавления правила, нужно его сохранить
service iptables save
А не рестартить.
По хорошему нужно вручную отредактировать (добавить правило) /etc/sysconfig/iptables т.к. порядок имеет значение.

3 arsik

гуру

06.01.17

✎

12:51

Ну и iptables чистый редко где использую. Посмотри firehol (https://firehol.org/). Намного проще и удобнее. Плюс очень визуально. Firehol на основании своих правил строит правила в iptables. Это по сути просто башевский скрипт.

4 arsik

гуру

06.01.17

✎

12:53

+(3) Ну и плюс к firehol-у еще есть и FireQOS. Очень все быстро делается.

5 arsik

гуру

06.01.17

✎

12:55

Ну и так кому интересно у команды firehol есть еще прикольные опенсурсный продукт netdata. Просто бомба.
Вот пример: http://frankfurt.my-netdata.io/