当我输入类似的内容时sudo apt-get install firefox,一切正常,直到询问我:
After this operation, 77 MB of additional disk space will be used.
Do you want to continue [Y/n]? Y
然后显示错误消息: Failed to fetch: <URL>
我的iptables规则如下:
-P INPUT DROP
-P OUTPUT DROP
-P FORWARD DROP
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
我应该添加什么才能允许apt-get下载更新?谢谢
Answers:
apt-get几乎总是通过HTTP下载,但也可能使用FTP,因此简短的答案可能是允许出站HTTP连接...当然还有DNS。
现在,您的配置禁止所有传出的网络流量(链ESTABLISHED上的规则OUTPUT无效,因为将不会建立任何会话)。您是否需要仅允许apt-get更新,同时仍然不允许其他所有操作?iptables可能是该工作的错误工具,因为它实际上不会解释URL并选择性地允许HTTP传输。您想为此任务使用HTTP代理服务器。
您可以使用更简单的设置来允许apt-get下载,但是请注意,这还允许所有其他传出DNS和HTTP连接,这可能不是您想要的。
iptables -F OUTPUT # remove your existing OUTPUT rule which becomes redundant
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
如果您的APT来源包括HTTPS或FTP来源或80以外的端口上的HTTP来源,则也必须添加这些端口。
接下来,您将必须允许回程流量。您可以使用允许任何已建立连接的单个规则来执行此操作:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
(使用连接跟踪时,允许所有入站建立的连接都是安全的,因为只有您允许的连接才会进入ESTABLISHED状态。)