Всем привет!
Срочно прошу помощи. Не могу найти как удалить правила (старые) Iptables, перезагрузка не помогает. Где то сохраняются. При выводе sudo iptables-save куча правил.
Сервер достался по наследству, админа старого найти не могу. Система на Ubuntu 7.04 server.
sudo iptables-savexxx@xxx:~$ sudo iptables-save
# Generated by iptables-save v1.3.6 on Fri Oct 8 07:50:57 2010
*filter
:INPUT DROP [28:2068]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -d EXTERNAL_IP -p udp -m udp --dport 53 -j DROP
-A INPUT -p tcp -m tcp --dport 3128 -j QUEUE
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A INPUT -d 192.168.2.5 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 192.168.2.0/255.255.255.0 -j ACCEPT
-A INPUT -d 127.0.0.0/255.0.0.0 -j ACCEPT
-A INPUT -j QUEUE
-A FORWARD -j QUEUE
-A FORWARD -d 192.168.2.6 -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.2.6 -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.2.6 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 3128 -j QUEUE
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 631 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -s 192.168.2.0/255.255.255.0 -j ACCEPT
-A OUTPUT -s 127.0.0.0/255.0.0.0 -j ACCEPT
-A OUTPUT -j QUEUE
COMMIT
# Completed on Fri Oct 8 07:50:57 2010
# Generated by iptables-save v1.3.6 on Fri Oct 8 07:50:57 2010
*nat
:PREROUTING ACCEPT [6539:1462120]
:POSTROUTING ACCEPT [2136:161767]
:OUTPUT ACCEPT [2248:170893]
-A PREROUTING -d 192.168.2.0/255.255.255.0 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -s 192.168.2.0/255.255.255.0 -d ! 192.168.2.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.2.4:3389
-A PREROUTING -d EXTERNAL_IP -p tcp -m tcp --dport 3390 -j DNAT --to-destination 192.168.2.6:3389
-A PREROUTING -d EXTERNAL_IP -p tcp -m tcp --dport 3390 -j DNAT --to-destination 192.168.2.6:3389
-A PREROUTING -d EXTERNAL_IP -p tcp -m tcp --dport 3399 -j DNAT --to-destination 192.168.2.6:3389
-A PREROUTING -d EXTERNAL_IP -p tcp -m tcp --dport 3399 -j DNAT --to-destination 192.168.2.6:3389
-A PREROUTING -d EXTERNAL_IP -p tcp -m tcp --dport 3399 -j DNAT --to-destination 192.168.2.6:3389
-A PREROUTING -d EXTERNAL_IP -p tcp -m tcp --dport 3399 -j DNAT --to-destination 192.168.2.6:3389
-A PREROUTING -d EXTERNAL_IP -p tcp -m tcp --dport 33990 -j DNAT --to-destination 192.168.2.6:3389
-A PREROUTING -d EXTERNAL_IP -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.2.6:3389
-A PREROUTING -d EXTERNAL_IP -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.2.6:3389
-A PREROUTING -d EXTERNAL_IP -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.2.6:3389
-A PREROUTING -d EXTERNAL_IP -p tcp -m tcp --dport 55555 -j DNAT --to-destination 192.168.2.6:3389
-A PREROUTING -d EXTERNAL_IP -p tcp -m tcp --dport 3390 -j DNAT --to-destination 192.168.2.6:3389
-A PREROUTING -d EXTERNAL_IP -p tcp -m tcp --dport 3390 -j DNAT --to-destination 192.168.2.202:3389
-A POSTROUTING -s 192.168.2.0/255.255.255.0 -j MASQUERADE
COMMIT
# Completed on Fri Oct 8 07:50:57 2010
sudo iptables -L -v -nxxx@xxxx:~$ sudo iptables -L -v -n
Chain INPUT (policy DROP 28 packets, 2068 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP udp -- * * 0.0.0.0/0 EXTERNAL_IP udp dpt:53
17170 2402K QUEUE tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
2603 204K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
537 96839 ACCEPT tcp -- * * 0.0.0.0/0 192.168.2.5 tcp dpt:80
21125 2243K ACCEPT 0 -- * * 0.0.0.0/0 192.168.2.0/24
1091 103K ACCEPT 0 -- * * 0.0.0.0/0 127.0.0.0/8
18828 14M QUEUE 0 -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
38535 21M QUEUE 0 -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 192.168.2.6 tcp dpt:3389
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 192.168.2.6 tcp dpt:3389
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 192.168.2.6 tcp dpt:3389
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
21279 17M QUEUE tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:3128
2628 1051K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:631
599 417K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80
10352 12M ACCEPT 0 -- * * 192.168.2.0/24 0.0.0.0/0
1091 103K ACCEPT 0 -- * * 127.0.0.0/8 0.0.0.0/0
18927 3009K QUEUE 0 -- * * 0.0.0.0/0 0.0.0.0/0хочу пробросить порт 3389 для 2003 сервера.
Пользователь решил продолжить мысль [time]Fri Oct 8 08:58:29 2010[/time]:
Отвечу сам себе)))
Для отображения порядковых номеров iptables правил в списке необходимо использовать опцию --line-numbers
Например, просмотрим содержимое таблицы трансляции и правила влияющие на пересылку пакетов между интерфейсами:
iptables -L POSTROUTING -t nat -n -v --line-numbers
iptables -L FORWARD -n -v --line-numbers
Удалим несколько записей по номеру:
iptables -D FORWARD 55
iptables -t nat -D POSTROUTING 15
Цепочку следует явно указывать, так как номера уникальны только в рамках каждой цепочки.
Удалять следует внимательно и по одному элементу ! Так как после удаления, следующие номера сдвигаются.
Т.е. Если вы хотели удалить в списке строки 15 и 25, удалять нужно начиная с большего номера,
иначе 25 запись после удаления 15 сменит номер на 24.
По аналогии удалил все ненужное. Заработало)
Тема: Накопилось куча правил Iptables (Прочитано 4441 раз)
