Здравствуйте.
Я только начинаю разбираться в настройках iptables, потому наверняка мой вопрос покажется глупым, но, так или иначе, ответьте, пожалуйста.
Значит, моя сеть 10.0.0.0/8 позади обычного дешевого роутера, в составе сети сервер 10.0.0.3 и клиент 10.0.0.10.
Установил на сервер Debian 8, совершенно нульсовый (там где выбирать компоненты все звёздочки убрал, решил добавить ручками по надобности), стал копаться с настройками iptables. Сам я по натуре абсолютный параноик и строки навроде iptables -P OUTPUT ACCEPT меня пугают, мягко говоря, до усрачки и я подобного никогда не писал (занимался да и поигрываю изредка низкоуровневым TCP/IP, серверы там всякие, не важно) и писать не собираюсь.
Начал обходить, ssh, samba, dns и ICMP по минимальному параноидальному сценарию с полноценной их работой заработали.
Но вот дохожу я до того, чтобы обновлять свой новый восьмой дебиан и работать обновления отказываются наотрез на этапе обращения к серверам обновлений по FTP.
Провозившись несколько часов с настройкой логгинга, я понимаю в чём дело и решаю прописать «в жёсткую» в настройки iptables адреса серверов обновлений, а для того, чтобы это сделать, настраиваю логгинг «с наружи» и «изнутри» всех DROPped пакетов.
Чёрт побери, вот тут-то сердечко моё больное и ёкает.
Помимо понятных серверов, заканчивающихся на debian.org, выискивается неискуемый nslookupом сервер вот такой:
Jun 4 13:29:49 creep kernel: [ 279.940080] IT-IN-Dropped: IN=eth0 OUT= MAC=00:1d:92:69:e2:b2:c8:be:19:b3:43:da:08:00 SRC=218.77.79.43 DST=10.0.0.3 LEN=44 TOS=0x08 PREC=0x60 TTL=237 ID=54321 PROTO=TCP SPT=52143 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Делаю whois, раз nslookup не знает, а там - здрасти, сами смотрите: https://www.nic.ru/whois/?query=218.77.79.43 . Я обновлять хочу русифицированную американскую систему с американского зеркала, а там мне «Ni xao» говорят из Хунань Телекома какого-то -.-
Узбагойте меня кто-нибудь, пожалуйста. Разве это нормально?