Дублирование в iptables

Покажите правила в нормальном виде, ″iptables -L -n -v″, а лучше ″iptables-save″.

А с другой стороны, в правилах, генерируемых скриптами и надстройками часто бывает много лишнего и не особо осмысленного.

Спасибо за ответ. Хотел скинуть всю эту огромную портянку с правилами, но передумал. Во-первых, правила FORWARD уже поменялись, во-вторых всё о чём я хотел спросить уже приведено в исходном сообщении. Как на ваш взгляд, что изменится, если удалить правило 4 и остальные расположить в порядке 1,5,3,2? У меня нет конкретной проблемы, я хочу понять принцип. Спасибо.

Правила в цепочке исполняются по порядку. В правиле есть сравнения и действие. Сравнения могут подходить к пакету (тогда действие выполняется) или не подходить (тогда правило пропускается). Действие может быть финальным (ACCEPT или DROP) или не финальным (return, jump, call, etc). После финального действия обработка пакета завершена.

В правиле 2 сравнения подходят к любому пакету, действие финальное. Поэтому правила 3,4,5 не исполняются никогда. По идее на них должны быть нулевые счётчики пакетов.

Я не могу сказать что поменяется, не видя правил полностью. Может быть, что «anywhere anywhere» не для всех интерфесов, а ограничен конкретным интерфейса (интерфейсами). И такой набор правил подразумевает указание в них интерфейса, иначе правило 2 уничтожит все пакеты, поэтому не возникнет пакетов, с состоянием RELATED,ESTABLISHED.

А по поводу правила 4, если его удалить, и ограничиться только этим правилами, то пакеты NEW могут пройти только как DNAT, то есть будут проходить только соединения, попавшие под -j DNAT правило в таблице nat. Если пакет NEW не прошёл, то ESTABLISHED не возникнет.

хочу понять принцип

Принцип — читать правило целиком, с интерфейсами. В работающей системе обращать внимания на счётчики у правил, если там всё время нули, значит правило не разу не сработало, и, возможно, бесполезно.

Спасибо, друг! Буду разбираться.

Спасибо, друг! Буду разбираться.