Мне интересно первое правило в цепочке FORWARD. Почему это должно быть необходимым правилом, если политика DROP?
root@tomato:/tmp/home/root# iptables -L --line-numbers
Chain INPUT (policy DROP)
num target prot opt source destination
1 REJECT tcp -- anywhere tomato multiport dports www,https,ssh reject-with tcp-reset
2 REJECT tcp -- anywhere tomato-lan1 multiport dports www,https,ssh reject-with tcp-reset
3 DROP all -- anywhere anywhere state INVALID
4 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
5 shlimit tcp -- anywhere anywhere tcp dpt:ssh state NEW
6 ACCEPT all -- anywhere anywhere
7 ACCEPT all -- anywhere anywhere
8 ACCEPT all -- anywhere anywhere
Chain FORWARD (policy DROP)
num target prot opt source destination
1 REJECT tcp -- anywhere tomato multiport dports www,https,ssh reject-with tcp-reset
2 REJECT tcp -- anywhere tomato-lan1 multiport dports www,https,ssh reject-with tcp-reset
3 ACCEPT all -- anywhere anywhere
4 ACCEPT all -- anywhere anywhere
5 DROP all -- anywhere anywhere state INVALID
6 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
7 DROP all -- anywhere anywhere
8 DROP all -- anywhere anywhere
9 wanin all -- anywhere anywhere
10 wanout all -- anywhere anywhere
11 ACCEPT all -- anywhere anywhere
12 ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain shlimit (1 references)
num target prot opt source destination
1 all -- anywhere anywhere recent: SET name: shlimit side: source
2 DROP all -- anywhere anywhere recent: UPDATE seconds: 60 hit_count: 4 name: shlimit side: source
Chain wanin (1 references)
num target prot opt source destination
1 ACCEPT tcp -- anywhere oldtimer tcp dpt:3300
Chain wanout (1 references)
num target prot opt source destination
1 )Правила автоматически генерируются некоторой программой, которая принимает описание более высокого -уровня. Не делайте предположение, что правило «необходимо» только потому, что оно там указано.
2 )Даже если правило не является строго обязательным, может быть хорошей практикой включить его, чтобы явно указать, что что-то не разрешено.
3 )Тем не менее, может оказаться необходимым включить это правило, а именно, если есть другие правила, которые будут принимать пакет до достижения конца таблицы и применяется политика DROP по умолчанию.
В частности, правила 11 и 12 в цепочке FORWARD выглядят одинаково и, кажется, принимают все, (поэтому они, вероятно, имеют атрибуты, которые не перечислены; попробуйте -S
вместо -L
), если это действительно так, то это то же самое, что и политика по умолчанию ACCEPT, поэтому вам придется явно отбросить все, что вы хотите удалить.