menu Chancel's blog
rss_feed
Chancel's blog
有善始者实繁,能克终者盖寡。

iptables白名单模式导致ping命令不工作问题

作者:Chancel Yang, 创建:2022-08-01, 字数:544, 已阅:134, 最后更新:2022-08-01

这篇文章更新于 646 天前,文中部分信息可能失效,请自行甄别无效内容。

使用iptables来禁用所有入网请求,并允许仅指定设备入网

Bash
/sbin/iptables -A INPUT -m mac --mac-source d2:d9:f8:1d:b4:2f -j ACCEPT
/sbin/iptables -A INPUT -j DROP

这个设置没问题,但却奇怪地发现无法Ping通外网如114.114.114.114,在删除INPUT -j DROP规则之后则正常

查阅资料后发现是INPUT -j DROP会直接拒绝所有入网,包括主机发起的PING请求回包,甚至是DNS解析也会不正常

所以需要还需要添加以下设置

Bash
/sbin/iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -I INPUT -p icmp --icmp-type echo-request -j ACCEPT

资料来源

  • https://serverfault.com/questions/356282/cannot-ping-outside-network-with-these-ip-rules

[[replyMessage== null?"发表评论":"发表评论 @ " + replyMessage.m_author]]

account_circle
email
web_asset
textsms

评论列表([[messageResponse.total]])

还没有可以显示的留言...
gravatar
[[messageItem.m_author]] [[messageItem.m_author]]
[[messageItem.create_time]]
[[getEnviron(messageItem.m_environ)]]
[[subMessage.m_author]] [[subMessage.m_author]] @ [[subMessage.parent_message.m_author]] [[subMessage.parent_message.m_author]]
[[subMessage.create_time]]
[[getEnviron(messageItem.m_environ)]]