0

我刚刚在全新的 Fedora Core 8 安装上安装了 VMWare Server 2.0。VMWare 的 Web 访问控制台的端口是 8222 和 8333(与默认值一样)。

当我尝试对 myserver:8222 进行远程 http 访问时,它失败了。但是当我跑步时

/sbin/service iptables stop

访问成为可能(虽然不是很令人满意)。因此,我更新了conf文件如下

cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
# Custom authorization for VMWare administration
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8222 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8333 -j ACCEPT
COMMIT

然而,即使重新加载了 iptables 设置,它仍然无法正常工作。有谁知道我做错了什么?

4

2 回答 2

2

您的 VMware 规则需要出现在 REJECT 条目之前;否则他们将永远无法到达。

一个好的调试工具是在您的规则之前添加一个 LOG 来验证:

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
# Custom authorization for VMWare administration
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8222 -j LOG --log-prefix="8222 "
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8222 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8333 -j LOG --log-prefix="8333 "
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8333 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

与其他目标不同,LOG返回以允许处理进一步的规则。和ACCEPT目标REJECT终止处理。

于 2008-11-01T00:40:30.360 回答
1

解决此问题的一种简单方法是运行 system-config-securitylevel 或 system-config-securitylevel-tui 并将 8222 和 8333 添加为受信任端口。这添加了与您手动执行的基本相同的 iptables 规则。

于 2008-11-12T19:36:40.720 回答