防火墙-控制列表排查无法访问问题

最新推荐文章于 2024-04-30 09:00:00 发布
最新推荐文章于 2024-04-30 09:00:00 发布
阅读量271 收藏
点赞数
分类专栏: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43863426/article/details/115934104
版权
主要问题

默认访问控制策略为:阻止,添加允许通过的控制列表规则与允许网络通过的规则,据具体规则如下

root@ROUTER:~# iptables -nvL
Chain INPUT (policy ACCEPT 228 packets, 70691 bytes)
 pkts bytes target     prot opt in     out     source               destination         
2132K  675M wan_input_chain  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
2131K  675M lan_input_chain  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP 29 packets, 1733 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   34  1768 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x06/0x02 TCPMSS set 1460
  228 14557 lan_forward_chain  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  228 14557 lan2wan_forward_chain  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  228 14557 custom_forward_chain  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
   34  1768 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x06/0x02 TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT 26 packets, 2794 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   19  1068 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x06/0x02 TCPMSS set 1460

Chain ACL_101 (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       192.168.217.100      220.181.38.148      

Chain access_local (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:23
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:9001

Chain access_remote (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  331 54442 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:23
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:9001

Chain acl_chain (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACL_101    all  --  cellular0 *       0.0.0.0/0            0.0.0.0/0           
   29  1733 ACL_101    all  --  *      cellular0  0.0.0.0/0            0.0.0.0/0           

Chain custom_forward_chain (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  228 14557 acl_chain  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  228 14557 mac_binding_chain  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  228 14557 visitor    all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain filter_ddos (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain filter_keyword (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain filter_url (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain lan2wan_forward (6 references)
 pkts bytes target     prot opt in     out     source               destination         
  226 13945 spi_filter  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain lan2wan_forward_chain (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 lan2wan_forward  all  --  Bridge0 tun5    0.0.0.0/0            0.0.0.0/0           
    0     0 lan2wan_forward  all  --  Bridge0 pppoe   0.0.0.0/0            0.0.0.0/0           
    0     0 lan2wan_forward  all  --  Bridge0 FE0     0.0.0.0/0            0.0.0.0/0           
  226 13945 lan2wan_forward  all  --  Bridge0 cellular0  0.0.0.0/0            0.0.0.0/0           
    0     0 lan2wan_forward  all  --  Bridge0 tunl0   0.0.0.0/0            0.0.0.0/0           
    0     0 lan2wan_forward  all  --  Bridge0 gre0    0.0.0.0/0            0.0.0.0/0           

Chain lan_forward (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  226 13945 filter_url  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  226 13945 filter_keyword  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain lan_forward_chain (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  226 13945 lan_forward  all  --  Bridge0 *       0.0.0.0/0            0.0.0.0/0           

Chain lan_input (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   70  6446 visitor_local  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
   70  6446 access_local  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain lan_input_chain (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   70  6446 lan_input  all  --  Bridge0 *       0.0.0.0/0            0.0.0.0/0           

Chain mac_binding_chain (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain spi_filter (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain spi_firewall (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain spi_firewall_end (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain visitor (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain visitor_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      gre0    0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      tunl0   0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      cellular0  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      FE0     0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      pppoe   0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      cellular0  0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain visitor_local (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain wan_input (5 references)
 pkts bytes target     prot opt in     out     source               destination         
2098K  671M spi_firewall  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
2098K  671M access_remote  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
2097K  671M filter_ddos  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
2097K  671M spi_firewall_end  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain wan_input_chain (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 wan_input  all  --  pppoe  *       0.0.0.0/0            0.0.0.0/0           
2098K  671M wan_input  all  --  FE0    *       0.0.0.0/0            0.0.0.0/0           
    5   420 wan_input  all  --  cellular0 *       0.0.0.0/0            0.0.0.0/0           
    0     0 wan_input  all  --  tunl0  *       0.0.0.0/0            0.0.0.0/0           
    0     0 wan_input  all  --  gre0   *       0.0.0.0/0            0.0.0.0/0

路由器Lan口接一PC,PC获取到的ip为192.168.217.100,规则已经配置好,PC去ping220.181.38.148发现ping不同。此时排查FOWORD表,PC在持续ping时,哪些流量在增加
流量
发现 lan_forward_chain、lan2wan_forward_chain、custom_forward_chain三个链的数量增长的最多,且数值一样,所以需要一个个链进行排查

lan_forward_chain

通过对链的一层一层排查,发现最后filter_url/filter——keyword规则为空,则代表并不是该规则阻止了流量通过;如下图
在这里插入图片描述

lan2wan_forward_chain

同样一层一层剥开去查找规则,发现该链最底层没有对应的规则
在这里插入图片描述

custom_forward_chain

一层一层查看,发现该链上有一条规则阻挡了访问数据,则排查下,是入栈规则被阻挡,入栈规则即是外部访问内部,源地址应该是外部地址,目标地址应该是PC地址,和此时规则不匹配,导致数据被阻止,这样配置导致数据出的去,但是回不来的情况。
在这里插入图片描述

解决办法

先删除入站规则,在添加源地址为外部地址,目的地址为内网地址的规则,在将该规则应用到该网卡上,此时在通过PC去ping发现可通

Yuuny
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙排错
Je_suis_Lulu的博客
06-05 511
火墙问题排错 一、 因为该IP在public域中有设定 二、 根据提示信息编辑文件: vim  /root/.ssh/know_hosts 根据提示信息删除第一行 :wq
记录一次域名访问失败的排查经历
ajax_beijing_java的博客
11-30 400
添加了一个 session requried /usr/lib64/security/pam_limits.so。然后是我记得ctl+b就启动进入单用户模式,你看下页面提示有写。修改/etc/pam.d/login 文件,注释掉添加的行。梳理服务架构后,发现前面过了云墙,同时发现云墙关机。运维人员初步排查以为是云主机访问权限的问题,重置应用用户密码后,可以正常登录了。结果普通用户不能通过密码登录了,解决方法:控制台登录服务器后,某域名,大概一天前不能访问。于是修改了登录文件的。充值开机后问题解决。
排查到解决问题的过程:浏览器突然无法访问网页,错误代码:0x80004005,最终定位:“电脑打开热点,电脑就不能上网了”
qq_33769308的博客
06-22 7801
实际问题是:电脑打开热点后,手机能够链接,但是电脑不能进行访问网页了,原因是系统更新问题,卸载一个更新的内容就可以
网页访问不了,从服务器层面如何排查
最新发布
Sgirll的博客
04-30 304
查看服务器的访问日志(如 Apache 的 access.log 或 Nginx 的 access.log)以及错误日志(如 Apache 的 error.log 或 Nginx 的 error.log),看是否有相关的错误或异常信息。如果访问域名无法解析,可能是 DNS 配置问题,可以使用 dig 命令检查 DNS 解析情况,例如 `dig www.example.com`。检查 Web 服务器(如 Apache、Nginx)的配置文件,确保配置正确,包括虚拟主机配置、目录权限等。3. 检查服务器端口。
端口扫描绕过实践
xiaoi123的博客
12-28 659
0x00 前言 在一次自己做的检测爆破和CC攻击的工具中,感觉纰漏有很多,再次想到了安全狗是如何做防御的,尝试地去绕过安全狗。也去使用学到的TCP/IP知识去实践一波。 0x01  过程 端口扫描地时候全接连和半连接比较稳定,而安全狗是对接受带有SYN的TCP报文有检测机制,如果在10秒钟内累计200个则会触发防御机制,会封掉该IP。后来想到使用分片,看看安全狗是否会对分片的数据包进行重组,...
mac系统 无法访问 RabbitMQ 的管理页面,防火墙问题如何排查
06-12
如果无法访问 RabbitMQ 的管理页面,可能是防火墙问题导致的。可以按照以下步骤进行排查: 1. 查看防火墙状态 打开「系统偏好设置」,点击「安全性与隐私」,切换到「防火墙」标签页,可以看到当前防火墙的状态...
网络安全基础:防火墙和访问控制列表
# 1. 引言 ## 1.1 什么是网络安全 网络安全指的是保护计算机网络不受未经授权的攻击、破坏、窃取或访问的行为影响,确保网络系统的完整、保密...## 1.3 为什么需要防火墙和访问控制列表 在网络安全防护中,防火墙
ACL访问控制列表防火墙中的应用
ACL访问控制列表简介 ## 1.1 ACL访问控制列表的定义和作用 Access Control List(ACL)即访问控制列表,是一种用于控制网络通信权限的安全策略。ACL可根据设定的规则允许或阻止特定数据包通过网络设备,起到限制...
12. {ACL访问控制列表防火墙
在网络安全领域,ACL是Access Control List(访问控制列表)的缩写,是一种用于控制数据包在网络设备上流动的规则集合。它可以通过定义允许或拒绝特定类型的数据包通过路由器、交换机等网络设备,为网络管理员提供了...
访问控制列表(ACL)和防火墙:网络安全防护的双重防线
访问控制列表(ACL)和防火墙作为网络安全的重要组成部分,扮演着至关重要的角色。本章将介绍ACL与防火墙在网络安全中的重要性和作用。 ## 1.2 目的 本章的目的是为读者提供对ACL与防火墙的基本理解,帮助读者了解...
TCP协议详解之TCP Flag标志位来判断TCP会话的开始和结束
answer3lin的博客
12-06 2万+
首先回顾一下TCP标志位的具体含义。 TCP Flag标志位(控制位) 一个TCP包的详细内容: TCP FLAG 标记占1.5个byte,12bit(4bit+8bit,前半个byte与Header Length公用)。 12bit中前三个bit是保留,默认为全0: 000. .... .... = Reserved: Not set 第4个bit为: ...0 ......
TCP 报文格式及TCP Flags
热门推荐
gyunling的专栏
04-16 3万+
(一)前言 TCP 是一个基于连接的四层协议,提供全双工地,可靠地传输系统。它能够保证数据被远程主机接收。并且能够为高层协议提供flow-controlled 服务。 (二)TCP 报文格式(rfc793) 各个Field说明: 源端口(Source Port):长度为16 bits(2个字节)。源端口。 目的端口(Destination Port):长...
Iptables下MSS数据调整模块TCPMSS使用
killmice的专栏
11-03 1367
Iptables下MSS数据调整模块TCPMSS使用 2013-12-18 22:10 3557人阅读 评论(0) 收藏 举报 为达到最佳的传输效能TCP在建立连接时会协商MSS(最大分段长度,一般为1460字节)值,即MTU(最大传输单元,不超过1500字节)减去IP数据包包头20字节和TCP数据包头20字节,取最小的MSS值为本次连接的最大MSS值,Ipta
传输层协议报文信息分析
jctang的专栏
10-08 3231
传输层协议报文信息分析   1、浏览网页数据报文 截图如下:   No.     Time        Source                Destination           Protocol Info     351 199.346792  58.218.3.215          119.75.218.45    
【博客630】MTU网络问题排查及解决思路
qq_43684922的博客
03-11 4554
网络层发送数据包是有最大长度的,网络层从传输层接收到要发送的数据包时,它要判断向本地哪个接口发送数据,并查询该接口获得其最大传输单元MTU(MaximumTransmissionUnit),网络层把MTU值与要发送的IP数据包长度进行比较,如果IP数据包的长度比MTU值大,那么IP数据包就需要进行分片,分片后的数据包长度小于等于MTU(包括IP层头部,大小单位:byte)
linux下常用的20条iptables命令规则
杨镇宇的博客
05-29 649
This Linux based firewall is controlled by the program called iptables to handles filtering for IPv4, and ip6tables handles filtering for IPv6. I strongly recommend that you first read our quick tuto...
Linux: 20 Iptables Examples For New SysAdmins
weixin_34248023的博客
07-21 205
Linux comes with a host based firewall called Netfilter. According to the official project site:netfilter is a set of hooks inside the Linux kernel that allows kernel modules to register ...
nmap使用指南
「 虚幻私塾」
03-27 2996
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 1|00x00 简介 nmap还用介绍吗?搞安全的人还有不知道或者不会用nmap的吗?据我观察,能够全面灵活运用nmap的人其实并不多见。其实nmap早已经不再是你眼中那个网络层的扫描器软件了,早在十年前它就已经进化成为一个全功能的安全评估框架。今天,利用nmap强大的脚本功
关于linux的允许单个IP的最大连接数、控制单个IP在一定的时间内允许新建立的连接数
yhj674438511的博客
06-23 1935
求教呐~~~ 关于linux的允许单个IP的最大连接数、控制单个IP在一定的时间内允许新建立的连接数,根据网上查的方法设置之后,tomcat的localhost_access的log日志中发现,依然会有同一ip在某分钟内的请求数量超过100,向大家请教下,是哪里设置错了么? 以下为网上查的设置方法: 控制单个IP的最大并发连接数。 如下设置表示:允许单个IP的最大连接数为 20 [root@test3-237 ~]# iptables -I INPUT -p tcp --dport 80-m con.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值