История изменений
Исправление
naKovoNapalBaran,
(текущая версия)
:
-i enp0s3 -j DROP
ОПАСНОСТЬ!
Имя интерфейса может поменяться.
И тогда может произойти GLOBAL -j ACCEPT, который приведёт к
FORWARD –state NEW -i $WAN -o $LAN -j ACCEPT
и даже -i $WAN -o $WAN ACCEPT, не говоря о банальном INPUT -j ACCEPT.
хотя при правила не стартанут и будет дефолт с одним ACCEPT
–state RELATED,ESTABLISHED
Подобные правила ближе к началу лучше для производительности имхо.
чтобы из локальной сети выходить нужно дополнительно к ESTABLISHED
-A FORWARD -i enp0s8 -o enp0s3 --state NEW ACCEPT
Исправление
naKovoNapalBaran,
:
-i enp0s3 -j DROP
ОПАСНОСТЬ!
Имя интерфейса может поменяться.
И тогда может произойти GLOBAL -j ACCEPT, который приведёт к
FORWARD –state NEW -i $WAN -o $LAN -j ACCEPT
и даже -i $WAN -o $WAN ACCEPT, не говоря о банальном INPUT -j ACCEPT
–state RELATED,ESTABLISHED
Подобные правила ближе к началу лучше для производительности имхо.
чтобы из локальной сети выходить нужно дополнительно к ESTABLISHED
-A FORWARD -i enp0s8 -o enp0s3 --state NEW ACCEPT
Исправление
naKovoNapalBaran,
:
-i enp0s3 -j DROP
ОПАСНОСТЬ!
Имя интерфейса может поменяться.
И тогда может произойти GLOBAL -j ACCEPT, который приведёт к
FORWARD –state NEW -i $WAN -d $LAN -j ACCEPT
и даже -i $WAN -o $WAN ACCEPT, не говоря о банальном INPUT -j ACCEPT
–state RELATED,ESTABLISHED
Подобные правила ближе к началу лучше для производительности имхо.
чтобы из локальной сети выходить нужно дополнительно к ESTABLISHED
-A FORWARD -i enp0s8 -o enp0s3 --state NEW ACCEPT
Исходная версия
naKovoNapalBaran,
:
-i enp0s3 -j DROP
ОПАСНОСТЬ!
Имя интерфейса может поменяться.
И тогда может произойти GLOBAL -j ACCEPT, который приведёт к
FORWARD –state NEW -i $WAN -d $WAN -j ACCEPT
и даже -i $WAN -o $WAN ACCEPT, не говоря о банальном INPUT -j ACCEPT
–state RELATED,ESTABLISHED
Подобные правила ближе к началу лучше для производительности имхо.
чтобы из локальной сети выходить нужно дополнительно к ESTABLISHED
-A FORWARD -i enp0s8 -o enp0s3 --state NEW ACCEPT