[建议] wdcp v3后台iptables管理存在bug

toudu

今天偶然发现后台对iptables的读取有点问题。

我在后台连接数管理哪里封杀了几个ip，之后在iptables那里是显示出这几个ip的。

但我在这里添加几个ip段之后，在系统的iptables文件里面实际上已经更新，但是在wdcp后台的这个iptables这里还是原来的规则。

我在ssh手动修改了iptables，在wdcp后台还是不现实最新的规则

请问这是怎样问题，应当不是权限问题。wdcp对于iptables是可读可写的。

但是不现实最新的规则，这个应当是哪里存在bug，我把规则贴出来，大家可以帮忙看看

1. # Generated by iptables-save v1.4.21 on Sun Jan 22 08:22:54 2017
   
2. *filter
   
3. :INPUT ACCEPT [0:0]
   
4. :FORWARD ACCEPT [0:0]
   
5. :OUTPUT ACCEPT [37884:13843179]
   
6. -A INPUT -s 45.76.114.0/24 -j DROP
   
7. -A INPUT -s 45.76.74.0/24 -j DROP
   
8. -A INPUT -s 108.61.207.0/24 -j DROP
   
9. -A INPUT -s 45.76.74.43/32 -p tcp -j DROP
   
10. -A INPUT -s 108.61.207.136/32 -p tcp -j DROP
    
11. -A INPUT -s 45.76.114.163/32 -p tcp -j DROP
    
12. -A INPUT -d 108.61.207.0/24 -p tcp -j DROP
    
13. -A INPUT -d 108.61.207.0/24 -p tcp -j DROP
    
14. -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
    
15. -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
    
16. -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
    
17. -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
    
18. -A INPUT -p tcp -m tcp --dport 20000:20500 -m state --state NEW -j ACCEPT
    
19. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    
20. -A INPUT -p icmp -j ACCEPT
    
21. -A INPUT -i lo -j ACCEPT
    
22. -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
    
23. -A INPUT -j REJECT --reject-with icmp-host-prohibited
    
24. -A FORWARD -j REJECT --reject-with icmp-host-prohibited
    
25. COMMIT
    
26. # Completed on Sun Jan 22 08:22:54 2017

复制代码

-A INPUT -s 45.76.74.43/32 -p tcp -j DROP
-A INPUT -s 108.61.207.136/32 -p tcp -j DROP
-A INPUT -s 45.76.114.163/32 -p tcp -j DROP
这三条规则是通过wdcp后台添加的，可以显示

-A INPUT -s 45.76.114.0/24 -j DROP
-A INPUT -s 45.76.74.0/24 -j DROP
-A INPUT -s 108.61.207.0/24 -j DROP
这三条规则，如论我是通过wdcp后台添加还是通过sh添加都不显示，开始我还以为没有添加成功，后台通过ssh查看才发现已经添加成功，但是wdcp后台没有显示。

多谢

toudu

从后台添加iptables规则，从ssh看添加成功，但是为何在wdcp后台不显示，有哪位清楚原因吗？

toudu

基本上可以确定是wdcp的bug了

下载 (21.93 KB)

2017-1-22 11:55

下载 (18.15 KB)

2017-1-22 11:55

wdcp只读取参数为-s的规则，但是添加的时候设置的规则均为-d。

这就是为何wdcp后台不显示刚刚添加的规则的原因，请老大明察！！

toudu

下载 (18.86 KB)

2017-1-22 11:59

我刚刚修改-d为-s，然后重启iptables，
-A INPUT -s 108.61.207.136/32 -p tcp -j DROP
可以显示出来了。

难道是必须要重启iptables才能显示最新的？

toudu

已经确认了，我刚刚把-s修改-d，重启iptables不现实。

那么iptbles在后台显示必须符合两个原则：
1，input的参数必须为-s，但是在后台添加规则这个参数是-d，所以不显示该规则。
2，必须重启iptables，wdcp才会显示规则，添加规则后能否自动重启iptables，不然不能显示刚刚添加的规则。

请老大修正这个问题，让iptables能够即时显示添加的IP规则！！！！

toudu

在我的印象里面v2，没有这个问题，是即时显示的！

老大，这究竟是一个什么情况？

admin

wdcp是显示实时生效的规则，如果只是修改的文件，没重起，实际上，是没有生效的
或是说，在下次重起前，是没有生效的

bit

我也发现了这个问题，其实iptables文件已经有规则了；但是wdcp不会显示，重启后也不显示；楼主研究的深入了。

toudu

回复 7# admin


老大，现在我们添加规则那个参数确实是-d哦，我修改为-s之后，wdcp后台才能显示这个规则。
您的这个wdcp后台应当是调用的临时iptables，对吧，只有在点击“保存”之后，才会执行service iptables save，对吧？

希望能够添加规则之后在wdcp能够马上显示，这样才知道有没有添加成功，不然又要去ssh查看才行。

另外执行service iptables save没问题，那么在“保存”之后执行sercice iptables restart应当也是没问题的吧。

看看能否设置一个重启iptables的连接，这样点击保存之后，从wdcp就可以重启iptables，而不用去ssh。

对iptables规则的读写应当是目前最重要的问题吧。

多谢老大的好作品！

toudu

我刚刚看了iptables的这两个参数。
-s -source [!] address[/mask]
指定源地址，可以是主机名、网络名和清楚的IP地址。mask说明可以是网络掩码或清楚的数字，在网络掩码的左边指定网络掩码左边"1"的个数，因此， mask值为24等于255.255.255.0。在指定地址前加上"!"说明指定了相反的地址段。标志 --src 是这个选项的简写。

-d --destination [!] address[/mask]
指定目标地址，要获取详细说明请参见 -s标志的说明。标志 --dst 是这个选项的简写。

添加规则用-s参数应当更为灵活

toudu

回复 7# admin


老大，我刚刚仔细想了一下，确实是你说的这样，如果在后台禁止ip访问，在wdcp是马上显示的！
但是手动添加iptables规则之后，wdcp并没有马上显示该规则，必须要手动修改-d为-s，并重启iptables之后才能显示。

看看这个iptables的规则管理这里能不能更完美一点

辛苦

恭祝新春快乐！

bit

关注下该贴 楼主的问题也是我关心的问题；希望老大完善下产品细节，wdcp带我入门linux，赞一下。

toudu

还有关注这个问题吗？