LINUX.ORG.RU

История изменений

Исправление kostik87, (текущая версия) :

В iptables важна очерёдность правил 

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [53:6748]
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
вот эти правила у тебя обрабатываются, а далее вот этим правилом: 
-A INPUT -j REJECT --reject-with icmp-host-prohibited
ты блокируешь все входящие пакеты с указанием ответить, что соединение запрещено. И ниже этого правила вот эти правила: 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
уже не обрабатываются.
Сделай вот так: 
# Generated by iptables-save v1.4.21 on Sun Sep 27 01:02:42 2015
*raw
:PREROUTING ACCEPT [8072:4156393]
:OUTPUT ACCEPT [3966:856479]
COMMIT
# Completed on Sun Sep 27 01:02:42 2015
# Generated by iptables-save v1.4.21 on Sun Sep 27 01:02:42 2015
*nat
:PREROUTING ACCEPT [1922:184974]
:POSTROUTING ACCEPT [169:10479]
:OUTPUT ACCEPT [169:10479]
COMMIT
# Completed on Sun Sep 27 01:02:42 2015
# Generated by iptables-save v1.4.21 on Sun Sep 27 01:02:42 2015
*mangle
:PREROUTING ACCEPT [8072:4156393]
:INPUT ACCEPT [6659:4020368]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3966:856479]
:POSTROUTING ACCEPT [3966:856479]
COMMIT
# Completed on Sun Sep 27 01:02:42 2015
# Generated by iptables-save v1.4.21 on Sun Sep 27 01:02:42 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [53:6748]
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sun Sep 27 01:02:42 2015

Просто перенаправь вывод iptables-save в файл 

iptables-save > /tmp/rules
, поправь содержимое файла и загрузи изменённые правила 
iptables-restore /tmp/rules
после чего нужно средствами стартового сценария, который загружает правила iptables в твоём дистрибутиве сохранить изменённые правила, будет что-то такое: 
/etc/init.d/iptables save
но всё зависит от твоего дистрибутива, тем более если там ещё и systemd, то может быть совсем по другому.

Исходная версия kostik87, :

В iptables важна очерёдность правил 

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [53:6748]
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
вот эти правила у тебя обрабатываются, а далее вот этим правилом: 
-A INPUT -j REJECT --reject-with icmp-host-prohibited
ты блокируешь все входящие пакеты с указанием ответить, что соединение запрещено. И ниже этого правила вот эти правила: 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
уже не обрабатываются.
Сделай вот так: 
# Generated by iptables-save v1.4.21 on Sun Sep 27 01:02:42 2015
*raw
:PREROUTING ACCEPT [8072:4156393]
:OUTPUT ACCEPT [3966:856479]
COMMIT
# Completed on Sun Sep 27 01:02:42 2015
# Generated by iptables-save v1.4.21 on Sun Sep 27 01:02:42 2015
*nat
:PREROUTING ACCEPT [1922:184974]
:POSTROUTING ACCEPT [169:10479]
:OUTPUT ACCEPT [169:10479]
COMMIT
# Completed on Sun Sep 27 01:02:42 2015
# Generated by iptables-save v1.4.21 on Sun Sep 27 01:02:42 2015
*mangle
:PREROUTING ACCEPT [8072:4156393]
:INPUT ACCEPT [6659:4020368]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3966:856479]
:POSTROUTING ACCEPT [3966:856479]
COMMIT
# Completed on Sun Sep 27 01:02:42 2015
# Generated by iptables-save v1.4.21 on Sun Sep 27 01:02:42 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [53:6748]
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sun Sep 27 01:02:42 2015