用ss-bash提供多端口的ss服务和流量监控,和oneinstack的防火墙配置有冲突

问答中心分类: OneinStack用ss-bash提供多端口的ss服务和流量监控,和oneinstack的防火墙配置有冲突
40huo asked 7年 ago
未安装oneinstack时的防火墙

# Generated by iptables-save v1.6.0 on Tue Mar 21 22:50:50 2017
*filter
:INPUT ACCEPT [497:241438]
:FORWARD ACCEPT [0:0]
UTPUT ACCEPT [395:43996]
:ssinput - [0:0]
:ssoutput - [0:0]
-A INPUT -j ssinput
-A OUTPUT -j ssoutput
-A ssinput -p tcp -m tcp --dport 40001 -j ACCEPT
-A ssinput -p udp -m udp --dport 40001 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40005 -j ACCEPT
-A ssinput -p udp -m udp --dport 40005 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40007 -j ACCEPT
-A ssinput -p udp -m udp --dport 40007 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40008 -j ACCEPT
-A ssinput -p udp -m udp --dport 40008 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40012 -j ACCEPT
-A ssinput -p udp -m udp --dport 40012 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40013 -j ACCEPT
-A ssinput -p udp -m udp --dport 40013 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40014 -j ACCEPT
-A ssinput -p udp -m udp --dport 40014 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40015 -j ACCEPT
-A ssinput -p udp -m udp --dport 40015 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40017 -j ACCEPT
-A ssinput -p udp -m udp --dport 40017 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40018 -j ACCEPT
-A ssinput -p udp -m udp --dport 40018 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40019 -j ACCEPT
-A ssinput -p udp -m udp --dport 40019 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40020 -j ACCEPT
-A ssinput -p udp -m udp --dport 40020 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40021 -j ACCEPT
-A ssinput -p udp -m udp --dport 40021 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40022 -j ACCEPT
-A ssinput -p udp -m udp --dport 40022 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40023 -j ACCEPT
-A ssinput -p udp -m udp --dport 40023 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40024 -j ACCEPT
-A ssinput -p udp -m udp --dport 40024 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40025 -j ACCEPT
-A ssinput -p udp -m udp --dport 40025 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40026 -j ACCEPT
-A ssinput -p udp -m udp --dport 40026 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40027 -j ACCEPT
-A ssinput -p udp -m udp --dport 40027 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40028 -j ACCEPT
-A ssinput -p udp -m udp --dport 40028 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40029 -j ACCEPT
-A ssinput -p udp -m udp --dport 40029 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40030 -j ACCEPT
-A ssinput -p udp -m udp --dport 40030 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40121 -j ACCEPT
-A ssinput -p udp -m udp --dport 40121 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40122 -j ACCEPT
-A ssinput -p udp -m udp --dport 40122 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40123 -j ACCEPT
-A ssinput -p udp -m udp --dport 40123 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40124 -j ACCEPT
-A ssinput -p udp -m udp --dport 40124 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40031 -j ACCEPT
-A ssinput -p udp -m udp --dport 40031 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40001 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40001 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40005 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40005 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40007 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40007 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40008 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40008 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40012 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40012 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40013 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40013 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40014 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40014 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40015 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40015 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40017 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40017 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40018 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40018 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40019 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40019 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40020 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40020 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40021 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40021 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40022 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40022 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40023 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40023 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40024 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40024 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40025 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40025 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40026 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40026 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40027 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40027 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40028 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40028 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40029 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40029 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40030 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40030 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40121 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40121 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40122 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40122 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40123 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40123 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40124 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40124 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40031 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40031 -j ACCEPT
COMMIT
# Completed on Tue Mar 21 22:50:50 2017

安装后重启ss-bash

# Generated by iptables-save v1.6.0 on Wed Mar 22 12:33:19 2017
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
UTPUT ACCEPT [813:134521]
:ssinput - [0:0]
:ssoutput - [0:0]
:syn-flood - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 20002 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p icmp -m limit --limit 1/sec --limit-burst 10 -j ACCEPT
-A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -j ssinput
-A OUTPUT -j ssoutput
-A ssinput -p tcp -m tcp --dport 40001 -j ACCEPT
-A ssinput -p udp -m udp --dport 40001 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40005 -j ACCEPT
-A ssinput -p udp -m udp --dport 40005 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40007 -j ACCEPT
-A ssinput -p udp -m udp --dport 40007 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40008 -j ACCEPT
-A ssinput -p udp -m udp --dport 40008 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40012 -j ACCEPT
-A ssinput -p udp -m udp --dport 40012 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40013 -j ACCEPT
-A ssinput -p udp -m udp --dport 40013 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40014 -j ACCEPT
-A ssinput -p udp -m udp --dport 40014 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40015 -j ACCEPT
-A ssinput -p udp -m udp --dport 40015 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40017 -j ACCEPT
-A ssinput -p udp -m udp --dport 40017 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40018 -j ACCEPT
-A ssinput -p udp -m udp --dport 40018 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40019 -j ACCEPT
-A ssinput -p udp -m udp --dport 40019 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40020 -j ACCEPT
-A ssinput -p udp -m udp --dport 40020 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40021 -j ACCEPT
-A ssinput -p udp -m udp --dport 40021 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40022 -j ACCEPT
-A ssinput -p udp -m udp --dport 40022 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40023 -j ACCEPT
-A ssinput -p udp -m udp --dport 40023 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40024 -j ACCEPT
-A ssinput -p udp -m udp --dport 40024 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40025 -j ACCEPT
-A ssinput -p udp -m udp --dport 40025 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40026 -j ACCEPT
-A ssinput -p udp -m udp --dport 40026 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40027 -j ACCEPT
-A ssinput -p udp -m udp --dport 40027 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40028 -j ACCEPT
-A ssinput -p udp -m udp --dport 40028 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40029 -j ACCEPT
-A ssinput -p udp -m udp --dport 40029 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40030 -j ACCEPT
-A ssinput -p udp -m udp --dport 40030 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40121 -j ACCEPT
-A ssinput -p udp -m udp --dport 40121 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40122 -j ACCEPT
-A ssinput -p udp -m udp --dport 40122 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40123 -j ACCEPT
-A ssinput -p udp -m udp --dport 40123 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40124 -j ACCEPT
-A ssinput -p udp -m udp --dport 40124 -j ACCEPT
-A ssinput -p tcp -m tcp --dport 40031 -j ACCEPT
-A ssinput -p udp -m udp --dport 40031 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40001 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40001 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40005 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40005 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40007 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40007 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40008 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40008 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40012 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40012 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40013 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40013 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40014 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40014 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40015 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40015 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40017 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40017 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40018 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40018 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40019 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40019 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40020 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40020 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40021 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40021 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40022 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40022 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40023 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40023 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40024 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40024 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40025 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40025 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40026 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40026 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40027 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40027 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40028 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40028 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40029 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40029 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40030 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40030 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40121 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40121 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40122 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40122 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40123 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40123 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40124 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40124 -j ACCEPT
-A ssoutput -p tcp -m tcp --sport 40031 -j ACCEPT
-A ssoutput -p udp -m udp --sport 40031 -j ACCEPT
-A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN
-A syn-flood -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Wed Mar 22 12:33:19 2017

已经将input改成了accept,但还是不能连接ss,应该再如何修改一下?

2 Answers

Best Answer

40huo answered 7年 ago
已解决
把这两行移到前面去

-A INPUT -j ssinput
-A OUTPUT -j ssoutput

oneinstack answered 7年 ago
把下面相关段,放到配置文件后面试试:

-A INPUT -p icmp -m limit --limit 1/sec --limit-burst 10 -j ACCEPT
-A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A INPUT -j REJECT --reject-with icmp-host-prohibited