Вопросы Теги

Почему мой маршрутизатор отклоняет пересылаемые пакеты на себя?

Мне интересно первое правило в цепочке FORWARD. Почему это должно быть необходимым правилом, если политика DROP? 

root@tomato:/tmp/home/root# iptables -L --line-numbers
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    REJECT     tcp  --  anywhere             tomato               multiport dports www,https,ssh reject-with tcp-reset
2    REJECT     tcp  --  anywhere             tomato-lan1          multiport dports www,https,ssh reject-with tcp-reset
3    DROP       all  --  anywhere             anywhere             state INVALID
4    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
5    shlimit    tcp  --  anywhere             anywhere             tcp dpt:ssh state NEW
6    ACCEPT     all  --  anywhere             anywhere
7    ACCEPT     all  --  anywhere             anywhere
8    ACCEPT     all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    REJECT     tcp  --  anywhere             tomato               multiport dports www,https,ssh reject-with tcp-reset
2    REJECT     tcp  --  anywhere             tomato-lan1          multiport dports www,https,ssh reject-with tcp-reset
3    ACCEPT     all  --  anywhere             anywhere
4    ACCEPT     all  --  anywhere             anywhere
5    DROP       all  --  anywhere             anywhere             state INVALID
6    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
7    DROP       all  --  anywhere             anywhere
8    DROP       all  --  anywhere             anywhere
9    wanin      all  --  anywhere             anywhere
10   wanout     all  --  anywhere             anywhere
11   ACCEPT     all  --  anywhere             anywhere
12   ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain shlimit (1 references)
num  target     prot opt source               destination
1               all  --  anywhere             anywhere             recent: SET name: shlimit side: source
2    DROP       all  --  anywhere             anywhere             recent: UPDATE seconds: 60 hit_count: 4 name: shlimit side: source

Chain wanin (1 references)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  anywhere             oldtimer             tcp dpt:3300

Chain wanout (1 references)
num  target     prot opt source               destination
0
02.06.2019, 14:01
1 ответ

1 )Правила автоматически генерируются некоторой программой, которая принимает описание более высокого -уровня. Не делайте предположение, что правило «необходимо» только потому, что оно там указано.

2 )Даже если правило не является строго обязательным, может быть хорошей практикой включить его, чтобы явно указать, что что-то не разрешено.

3 )Тем не менее, может оказаться необходимым включить это правило, а именно, если есть другие правила, которые будут принимать пакет до достижения конца таблицы и применяется политика DROP по умолчанию.

В частности, правила 11 и 12 в цепочке FORWARD выглядят одинаково и, кажется, принимают все, (поэтому они, вероятно, имеют атрибуты, которые не перечислены; попробуйте -Sвместо -L), если это действительно так, то это то же самое, что и политика по умолчанию ACCEPT, поэтому вам придется явно отбросить все, что вы хотите удалить.

0
28.01.2020, 03:38

Теги

Похожие вопросы