跟大家分享一个 iptables 的教训 - V2EX

Home Sign Up Sign In

This topic created in 3655 days ago, the information mentioned may be changed or developed.

我前几天把我的 iptables 改成这样的，加了前三行（我以为这三行也是能 flush 掉的）：

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j ACCEPT
。。。等等。。

然后遇到了点别的问题，想 flush 一下 iptables 看看是不是防火墙的问题。

然后就悲剧了。。。

悲剧了。。。

服务器就这么失联了。。

iDRAC 的密码我还一时想不起来，找机房人工重启。。。

还是默认 accept ，最后一行-A INPUT -j DROP 靠谱一些。

19 replies • 2016-05-27 20:45:34 +08:00

1

DesignerSkyline

May 25, 2016

为何不用 ufw ，不是很理解

2

ETiV

May 26, 2016

吃一堑长一智就好。。。

我吃了起码 3 次这个亏，才长记性……

3

kslr

May 26, 2016 via Android

哈哈哈，我第一次也是这样，把自己给挡到外面了

4

windfarer

May 26, 2016

把自己挡在外面是每一个玩 iptables 的人的必经之路= =

5

ryd994

May 26, 2016

感谢分享
我一般是用 iptables-save 和 iptables-restore 的

6

skydiver

May 26, 2016 via iPad

为何不用 firewalld ，不太理解

7

shiji

OP

May 26, 2016 via Android

@DesignerSkyline
@skydiver
习惯了，就不想换别的了

8

wd

May 26, 2016 via iPhone

3

我 10 年前的经验
改之前先加一个 5 分钟后清空所有规则的 cron
如果有问题 5 分钟后自动恢复

9

xiaobu

May 26, 2016

@wd 确实是个好方法

10

shiji

OP

May 26, 2016

@xiaobu 那得看清空所有规则的命令是啥，，反正 iptables -F 对于我这次遇到的情况肯定是不行。。。

11

xiaobu

May 26, 2016

@shiji 可以直接 crontab 五分钟后关闭 iptables

12

julyclyde

May 26, 2016

-P 和最后一行-A 有什么区别么？

13

zent00

May 26, 2016

@wd 你是以前 LinuxSir 的那个 wd 么？

14

t6attack

May 26, 2016

win 服务器也一样，新手配置自带防火墙，稍不留神就把远程桌面端口给禁了。

15

wd

May 26, 2016 via iPhone

@zent00 卧槽熟人么是的

16

ipchy

May 26, 2016

在需要调试防火墙的时候，写一个计划任务，每隔几分钟关闭一次，或者重启，总之，留条后路

17

colorfulberry

May 26, 2016

ssh 都是要留着的，第一件事情。。。。

18

zent00

May 27, 2016 via iPhone

@wd 你是我在 V2EX 发现的第三个 LinuxSir 的朋友了，你应该不知道我，不过我印象中你常出现在 Arch 和 Debian 版块。

19

wd

May 27, 2016 via iPhone

@zent00 嗯是的之前做过 arch 的版主

About · Help · Advertise · Blog · API · FAQ · Solana · 949 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 58ms · UTC 21:42 · PVG 05:42 · LAX 14:42 · JFK 17:42
♥ Do have faith in what you're doing.