LINUX.ORG.RU
ФорумAdmin

iptables пропускает все подряд

 ,


0

1

Всем привет. Собственно сабж, что не так? 

*filter
:INPUT DROP [2:186]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [13:1176]
:DOCKER - [0:0]
:DOCKER-ISOLATION - [0:0]
:DOCKER-USER - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.136.1/32 -p tcp -m conntrack --ctstate NEW -m tcp --dport 514 -j ACCEPT
-A INPUT -s 192.168.136.1/32 -p udp -m conntrack --ctstate NEW -m udp --dport 514 -j ACCEPT
-A INPUT -s 192.168.136.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 3306 -j ACCEPT
-A INPUT -s 192.168.139.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 3306 -j ACCEPT
-A INPUT -s 192.168.136.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 2003 -j ACCEPT
-A INPUT -s 192.168.136.0/24 -p udp -m conntrack --ctstate NEW -m udp --dport 2003 -j ACCEPT
-A INPUT -s 192.168.139.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 2003 -j ACCEPT
-A INPUT -s 192.168.139.0/24 -p udp -m conntrack --ctstate NEW -m udp --dport 2003 -j ACCEPT
-A INPUT -s 192.168.136.0/24 -p udp -m conntrack --ctstate NEW -m udp --dport 137 -j ACCEPT
-A INPUT -s 192.168.136.0/24 -p udp -m conntrack --ctstate NEW -m udp --dport 138 -j ACCEPT
-A INPUT -s 192.168.136.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -s 192.168.136.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 445 -j ACCEPT
-A INPUT -s 192.168.139.0/24 -p udp -m conntrack --ctstate NEW -m udp --dport 137 -j ACCEPT
-A INPUT -s 192.168.139.0/24 -p udp -m conntrack --ctstate NEW -m udp --dport 138 -j ACCEPT
-A INPUT -s 192.168.139.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -s 192.168.139.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 445 -j ACCEPT
-A INPUT -s 192.168.136.0/24 -p udp -m conntrack --ctstate NEW -m udp --dport 9091 -j ACCEPT
-A INPUT -s 192.168.139.0/24 -p udp -m conntrack --ctstate NEW -m udp --dport 9091 -j ACCEPT
-A INPUT -s 192.168.136.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 9091 -j ACCEPT
-A INPUT -s 192.168.139.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 9091 -j ACCEPT
-A INPUT -s 192.168.136.0/24 -p udp -m conntrack --ctstate NEW -m udp --dport 51413 -j ACCEPT
-A INPUT -s 192.168.139.0/24 -p udp -m conntrack --ctstate NEW -m udp --dport 51413 -j ACCEPT
-A INPUT -s 192.168.136.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 51413 -j ACCEPT
-A INPUT -s 192.168.139.0/24 -p tcp -m conntrack --ctstate NEW -m tcp --dport 51413 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.136.0/24 -j LOG --log-prefix "IPTABLES LOG: "
-A INPUT -s 192.168.139.0/24 -j LOG --log-prefix "IPTABLES LOG: "
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A FORWARD -o br-53beeff4deff -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o br-53beeff4deff -j DOCKER
-A FORWARD -i br-53beeff4deff ! -o br-53beeff4deff -j ACCEPT
-A FORWARD -i br-53beeff4deff -o br-53beeff4deff -j ACCEPT
-A DOCKER -d 172.18.0.2/32 ! -i br-53beeff4deff -o br-53beeff4deff -p tcp -m tcp --dport 51413 -j ACCEPT
-A DOCKER -d 172.18.0.2/32 ! -i br-53beeff4deff -o br-53beeff4deff -p tcp -m tcp --dport 9091 -j ACCEPT
-A DOCKER -d 172.18.0.3/32 ! -i br-53beeff4deff -o br-53beeff4deff -p tcp -m tcp --dport 445 -j ACCEPT
-A DOCKER -d 172.18.0.3/32 ! -i br-53beeff4deff -o br-53beeff4deff -p tcp -m tcp --dport 139 -j ACCEPT
-A DOCKER -d 172.18.0.3/32 ! -i br-53beeff4deff -o br-53beeff4deff -p tcp -m tcp --dport 138 -j ACCEPT
-A DOCKER -d 172.18.0.3/32 ! -i br-53beeff4deff -o br-53beeff4deff -p tcp -m tcp --dport 137 -j ACCEPT
-A DOCKER -d 172.18.0.4/32 ! -i br-53beeff4deff -o br-53beeff4deff -p tcp -m tcp --dport 3306 -j ACCEPT
-A DOCKER-ISOLATION -i br-53beeff4deff -o docker0 -j DROP
-A DOCKER-ISOLATION -i docker0 -o br-53beeff4deff -j DROP
-A DOCKER-ISOLATION -j RETURN
-A DOCKER-USER -j RETURN
COMMIT

Лень вчитываться. Могу посоветовать добавлять по одному правилу и проверять после каждого шага когда начнет пропускаться весь трафик. Так и найдешь проблему.

rumgot ★★★★★
()

учитывая, что DROP есть только для пакетов относящихся к интерфейсу br-53beeff4deff, то твое удивление непонятно.

И без net.bridge.bridge-nf-call-iptables=1 фильтрация трафика проходящего через мост обычно не работает.

vel ★★★★★
()

Откуда именно и куда? Больше подробностей.
И присоединюсь к vel насчет net.bridge.bridge-nf-call-iptables = 1 (кстати для ipv6 вторая нужна net.bridge.bridge-nf-call-ip6tables = 1) а то может вы в бридже между интерфейсами фильтруете.

anc ★★★★★
()
Ответ на: комментарий от vel

учитывая, что DROP есть только для пакетов относящихся к интерфейсу br-53beeff4deff, то твое удивление непонятно.

У ТС полиси для INPUT и FORWARD - DROP

anc ★★★★★
()
Ответ на: комментарий от mfhunruh

гм. Офигительно понятно.

Для примера укажи с какого адреса на какой адрес/порт проверяешь, да и «ip a» не плохо бы увидеть.

vel ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin