INPUT -j DROP блокирует исходящий трафик. Что делать?

Question

[VolkZubamiSchelk]

Через файрвол ISPManager 5 lite создал правила для входящего трафика: разрешить порт 80 для всех, остальное запретить, кроме 2х ip-адресов. И потерял весь исходящий трафик с сервера.
Вывод ifconfig:

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:1132 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1132 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:4302058 (4.1 MiB)  TX bytes:4302058 (4.1 MiB)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:127.0.0.1  P-t-P:127.0.0.1  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:1521500 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1611473 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1226684983 (1.1 GiB)  TX bytes:1397221869 (1.3 GiB)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:1**.2*.7*.2**  P-t-P:1**.2*.7*.2**  Bcast:1**.2*.7*.2**  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1

etc/sysconfig/iptables:

# Generated by iptables-save v1.4.7 on Thu Mar  3 14:16:17 2016
*mangle
:PREROUTING ACCEPT [1610:216627]
:INPUT ACCEPT [1610:216627]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2034:2105792]
:POSTROUTING ACCEPT [2034:2105792]
COMMIT
# Completed on Thu Mar  3 14:16:17 2016
# Generated by iptables-save v1.4.7 on Thu Mar  3 14:16:17 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1:52]
:ispmgr_allow_ip - [0:0]
:ispmgr_allow_sub - [0:0]
:ispmgr_deny_ip - [0:0]
:ispmgr_deny_sub - [0:0]
:ispmgr_limit_req - [0:0]
-A INPUT -j ispmgr_deny_ip 
-A INPUT -j ispmgr_allow_ip 
-A INPUT -j ispmgr_allow_sub 
-A INPUT -j ispmgr_deny_sub 
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 35000:35999 -j ACCEPT 
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 20:22,25,80,443,110,53,3306,5432,1500 -j ACCEPT 
-A INPUT -p udp -m conntrack --ctstate NEW -m multiport --dports 53 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 1500 -j ACCEPT 
-A ispmgr_allow_ip -s 8*.2*.1**.1**/32 -j ACCEPT 
-A ispmgr_allow_ip -s 1**.2*.7*.2**/32 -j ACCEPT 
-A ispmgr_allow_ip -s 127.0.0.1/32 -j ACCEPT   
-A ispmgr_allow_ip -s 9*.7*.1**.1**/32 -j ACCEPT 
-A ispmgr_allow_sub -p tcp -m tcp --dport 80 -j ACCEPT 
-A ispmgr_deny_sub -j DROP
COMMIT
#Completed on Thu Mar  3 14:16:17 2016

Через SSH в iptables выше всех правил добавил OUTPUT -o 0.0.0.0/0 -j ACCEPT - не помогло.
Самое интересное, если закомментировать последнюю строку перед commit (DROP), то исходящий трафик работает, но это же цепочка IPNUT, как она может блокировать исходящий трафик?

Answer 1

[MamOn]

У вас дропаются все входящие пакеты, то есть с вашей системы пакеты то уходят, но ответы от удалённых хостов дропаются. Для этого правило, разрешающее пакеты от установленных соединений, -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT должно стоять выше правила -A INPUT -j ispmgr_deny_sub, в цепочке которого дропаются все пакеты.

Comments

[VolkZubamiSchelk]

Отсутствие ответов на icmp-запросы я воспринял как блокировку исходящего трафика. Спасибо за решение.

Answer 2

[Антон Нагаец]

-A ispmgr_deny_sub -j DROP

А вас не напрягает то что в этой цепочке ничего не определено что дропать ? либо нам не показали.

Comments

[VolkZubamiSchelk]

Это правило сформировал ISPManager, пробовал его менять на -A ispmgr_deny_sub -o %внешний адрес сервера% -j DROP - исходящий трафик все равно блокируется.

Answer 3

[mureevms]

1. Если знаете что такое консоль, то пишите правила и применяйте их системными инструментами, а не через прослойку ISPManager'а.
2. Вы уверены, что /etc/sysconfig/iptables перезаписывается ISPManager'ом? Т.е., скорее всего, в системе правил больше, чем в файле. Приведите вывод iptables -L -n. Думаю, что ISPManager просто генерит правила налету не сохраняя.