Я должен установить правила для исходных и целевых портов для исходящих правил о iptables?
Я использую puppetlabs модуль брандмауэра, и я испытываю затруднения при установке iptables для простого веб-хоста.
Я следую этому руководству и хочу установить дополнительные правила. https://sysadmincasts.com/episodes/18-managing-iptables-with-puppet
Например, я добавил правила позволить исходящий трафик с мерзавцем и mysql портами:
firewall { '200 allow outgoing mysql':
chain => 'OUTPUT',
state => ['NEW'],
proto => 'tcp',
dport => '3306',
action => 'accept',
}
firewall { '200 allow outgoing git':
chain => 'OUTPUT',
state => ['NEW'],
dport => '9418',
proto => 'tcp',
action => 'accept',
}
и смотря в iptables, я вижу следующие правила:
root@app01:~/geppetto# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 /* 000 accept all icmp */
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 /* 001 accept all to lo interface */
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 /* 003 accept related established rules */ state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80 /* 200 allow incoming http */ state NEW
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22 /* 200 allow openssh */ state NEW
LOG all -- 0.0.0.0/0 0.0.0.0/0 /* 900 log dropped input chain */ LOG flags 0 level 6 prefix "[IPTABLES INPUT] dropped "
DROP all -- 0.0.0.0/0 0.0.0.0/0 /* 910 deny all other input requests */
Chain FORWARD (policy ACCEPT)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 /* 900 log dropped forward chain */ LOG flags 0 level 6 prefix "[IPTABLES FORWARD] dropped "
DROP all -- 0.0.0.0/0 0.0.0.0/0 /* 910 deny all other forward requests */
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 /* 004 accept related established rules */ state RELATED,ESTABLISHED
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 53 /* 200 allow outgoing dns lookups */ state NEW
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 9418 /* 200 allow outgoing git */ state NEW
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80 /* 200 allow outgoing http */ state NEW
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 /* 200 allow outgoing icmp type 8 (ping) */ icmptype 8
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 3306 /* 200 allow outgoing mysql */ state NEW
LOG all -- 0.0.0.0/0 0.0.0.0/0 /* 900 log dropped output chain */ LOG flags 0 level 6 prefix "[IPTABLES OUTPUT] dropped "
DROP all -- 0.0.0.0/0 0.0.0.0/0 /* 910 deny all other output requests */
Однако я ни к чему не могу получить доступ с мерзавцем от машины. Рабочий источник выборки мерзавца просто испытывает таймаут. Я должен установить некоторые правила для исходящего исходного порта также?Заранее спасибо!
Существует несколько протоколов, которые Git может использовать, которые документированы здесь - наиболее распространённым из которых является SSH, который используется на GitHub (как общественных, так и корпоративных ароматов), а также на Gitosis и Gitolite.
Чтобы использовать Git поверх SSH, вам нужно будет открыть исходящий порт 22, а чтобы использовать гораздо более редкий Git-протокол, вам нужно будет открыть порт 9418, который у вас уже есть, так что шансы на то, что вы на самом деле используете SSH Git URL.
Пример: git@github.com:craigwatson/puppet-vmwaretools.git