Увидел правила IPTABLES, зачем так делают?

2

1

Подскажите для общего развития. Прошивка для роутера «FreshTomato»

Есть правила в цепочке INPUT

iptables -A INPUT -j ACCEPT -m state --state NEW  
iptables -A INPUT -d wan-ip -j DROP  
iptables -A INPUT -j DROP -m state --state INVALID  
iptables -A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED  
...  
...

Первому пакету с флагом SYN присваивается статус NEW.
Но, второй пакет SYN\ASK уничтожается. доступ к интерфейсу закрыт.

Вопрос в первых двух правилах.
Для чего так сделано?
Обычно, пропускают соединение RELATED,ESTABLISHED
Все остальное, кроме нужного закрыто…

Ссылка

←	Узел debian

perfect world не устанавливается

→

Первое правило пропускает все пакеты со стейтом NEW. Второе правило дропает все пакеты на интерфейс wan_ip. То есть получается, пропускается отовсюду кроме wan_ip.

turtle_bazon ★★★★★
(14.12.20 19:37:08 MSK)
Последнее исправление: turtle_bazon 14.12.20 19:37:27 MSK (всего исправлений: 1)

Ответ на: комментарий от turtle_bazon 14.12.20 19:37:08 MSK

Что правила делают, я в курсе. )))
Зачем так сделано, нет…

Это обычный домашний роутер с одним внешним интерфейсом.

AndrK189100 ★
(14.12.20 19:45:16 MSK) автор топика

Да хрень какую-то сделали. Вот здесь примеры посмотри https://www.frozentux.net/documents/iptables-tutorial/

targitaj ★★★★★
(14.12.20 19:54:03 MSK)

Ответ на: комментарий от targitaj 14.12.20 19:54:03 MSK

Как оно работает я представляю.
Подумал, что, может, это, какой-то хитрый ход, который я не знаю)

AndrK189100 ★
(14.12.20 21:25:15 MSK) автор топика
Последнее исправление: AndrK189100 14.12.20 21:25:50 MSK (всего исправлений: 1)

Ссылка

Похоже на стандартный запрет доступа к сервисам роутера, не из локалки (например, по 443, 22, 21).

Если на роутере будет поднят VPN-сервер, то такой DROP вверху списка, будет мешать.

NDfan ★
(14.12.20 21:41:27 MSK)

Ссылка

Ответ на: комментарий от AndrK189100 14.12.20 19:45:16 MSK

Зачем так сделано, нет…

Ну обычно наружку наглухо закрывают на всех роутерах.

turtle_bazon ★★★★★
(15.12.20 10:51:14 MSK)

Ссылка

Сделана какая-то фигня. Разве что для udp/icmp что-то даст. Типа первый пакет всегда пропускаем — dns-запрос, первый пинг...

Но, стиль написания правил разный, возможно второе правило вписал кто-то другой, не особо задумываясь.

mky ★★★★★
(17.12.20 03:40:10 MSK)

Ссылка

индусы-отсорсеры за 3 копейки и не такое напишут

Rost ★★★★★
(17.12.20 23:27:11 MSK)
Последнее исправление: Rost 17.12.20 23:27:20 MSK (всего исправлений: 1)

Ссылка

По идее более корректно надо писать следующее

#### Первее всех - следующие два(если логиировать, то три) правила. 
#   Нулевое - если нужно логирование
iptables -A INPUT -j LOG --log-prefix "INVALID: " -m state --state INVALID 
#   Первое - сброс поврежденных
iptables -A INPUT -j DROP -m state --state INVALID 
#   Второе - разрешаем последующие/зависимые пакеты с ранее разрешенных соединений
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED 

#### а вот дальше уже творим что хотим с трафиком.
# блокируем всё что пришло на "внешний" адрес "wan-ip"
iptables -A INPUT -d wan-ip -j DROP  
# и только потом, разрешаем все входящие к роутеру
iptables -A INPUT -j ACCEPT -m state --state NEW

Atlant ★★★★★
(18.12.20 05:00:57 MSK)
Последнее исправление: Atlant 18.12.20 05:04:10 MSK (всего исправлений: 1)

Ответ на: комментарий от Atlant 18.12.20 05:00:57 MSK

у вас тоже какая-то простыня. вот как должно быть:

iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $lan_interface -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Rost ★★★★★
(18.12.20 16:53:01 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Узел debian

General

perfect world не устанавливается

→

Похожие темы