LINUX.ORG.RU

История изменений

Исправление kostik87, (текущая версия) : 

# Блочим всё и вся
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Не совсем верно, это не блокировка всего, а всего-лишь навсего установка политики разрешения прохождения пакетов в цепочках INPUT, OUTPUT и FORWARD, т.е. если ниже ты что-то для этих цепочек разрешаешь ACCEPT, то писать далее: 

iptables -A FORWARD -j DROP
для блокировки уже не нужно.

# Блочим пакеты без статуса
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

Они и так уже заблокированы посредством политики DROP для всего что не разрешено правилами с политикой ACCEPT, так что писать эти строки большого смысла нет.

Если используется политика DROP, т.е. 

iptables -P INPUT DROP
iptables -P OUTPUT DROP

Ну а так, думай по смыслу, если выше есть правило, под которое подпадает пакет и это правило разрешает ACCEPT или запрещает DROP продвижение пакета в цепочке, то все ниже стоящие правила с DROP после ACCEPT или ACCEPT после DROP бессмысленны. Так же бессмысленны и правила для маркировки пакетов (MARK), логирования (LOG), перенаправления (REDIRECT) и прочего после правил DROP или ACCEPT.

Исправление kostik87, : 

# Блочим всё и вся
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Не совсем верно, это не блокировка всего, а всего-лишь навсего установка политики разрешения прохождения пакетов в цепочках INPUT, OUTPUT и FORWARD, т.е. если ниже ты что-то для этих цепочек разрешаешь ACCEPT, то писать далее: 

iptables -A FORWARD -j DROP
для блокировки уже не нужно.

# Блочим пакеты без статуса
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

Они и так уже заблокированы посредством политики DROP для всего что не разрешено правилами с политикой ACCEPT, так что писать эти строки большого смысла нет.

Если используется политика DROP, т.е. 

iptables -P INPUT DROP
iptables -P OUTPUT DROP

Ну а так, думай по смыслу, если выше есть правило, под которое подпадает пакет и это правило разрешает ACCEPT или запрещает DROP продвижение пакета в цепочке, то все ниже стоящие правила с DROP после ACCEPT или ACCEPT после DROP бессмысленны. Так же бессмысленны и правила для маркировки пакетов (MARK), логирования (LOG), перенаправления (REDIRECT) и прочего.

Исправление kostik87, : 

# Блочим всё и вся
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Не совсем верно, это не блокировка всего, а всего-лишь навсего установка политики разрешения прохождения пакетов в цепочках INPUT, OUTPUT и FORWARD, т.е. если ниже ты что-то для этих цепочек разрешаешь ACCEPT, то писать далее: 

iptables -A FORWARD -j DROP
для блокировки уже не нужно.

# Блочим пакеты без статуса
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

Они и так уже заблокированы посредством политики DROP для всего что не разрешено правилами с политикой ACCEPT.

Так что писать эти строки большого смысла нет, если используется политика DROP, т.е. 

iptables -P INPUT DROP
iptables -P OUTPUT DROP

Ну а так, думай по смыслу, если выше есть правило, под которое подпадает пакет и это правило разрешает ACCEPT или запрещает DROP продвижение пакета в цепочке, то все ниже стоящие правила с DROP после ACCEPT или ACCEPT после DROP бессмысленны. Так же бессмысленны и правила для маркировки пакетов (MARK), логирования (LOG), перенаправления (REDIRECT) и прочего.

Исходная версия kostik87, : 

# Блочим всё и вся
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Не совсем верно, это не блокировка всего, а всего-лишь навсего установка политики разрешения прохождения пакетов в цепочках INPUT, OUTPUT и FORWARD, т.е. если ниже ты что-то для этих цепочек разрешаешь ACCEPT, то писать далее: 

iptables -A FORWARD -j DROP
не нужно.

# Блочим пакеты без статуса
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

Они и так уже заблокированы посредством политики DROP для всего что не разрешено правилами с политикой ACCEPT.

Так что писать эти строки большого смысла нет, если используется политика DROP, т.е. 

iptables -P INPUT DROP
iptables -P OUTPUT DROP

Ну а так, думай по смыслу, если выше есть правило, под которое подпадает пакет и это правило разрешает ACCEPT или запрещает DROP продвижение пакета в цепочке, то все ниже стоящие правила с DROP после ACCEPT или ACCEPT после DROP бессмысленны. Так же бессмысленны и правила для маркировки пакетов (MARK), логирования (LOG), перенаправления (REDIRECT) и прочего.