ct state invalid drop. Зачем, если в самом низу drop На всё?

0

1

Пример таблицы фильтр

table ip filter {
	chain INPUT {
		type filter hook input priority filter; policy accept;
		ct state established,related accept
		ct state invalid drop
		ip protocol icmp accept
		drop
	}

Если в самом низу мы блокируем всё, то зачем правило, которое блокирует нелегитимный трафик?

←	Docker и организация хранения данных

Балансировка трафика на микротике с двумя провайдерами с BGP

→

А вдруг вы пропустсите icmp инвалидный пакет? Ужос ведь что может произойти...

mky ★★★★★
(31.10.25 08:18:35 MSK)

Ответ на: комментарий от mky 31.10.25 08:18:35 MSK

Тупанул.
Теперь понятно.

Dodik
(31.10.25 08:37:58 MSK) автор топика

Да чет у Вас и правила странные. invalid это состояние соединения когда оно вывалилось из обычной схемы работы. Внизу зачем-то дропается все, корректнее выставить policy drop вверху.

SterhTG
(02.11.25 18:46:13 MSK)

Предположу - для счетчиков.

Anoxemian ★★★★★
(02.11.25 18:59:19 MSK)

Ответ на: комментарий от SterhTG 02.11.25 18:46:13 MSK

invalid это состояние соединения когда оно вывалилось из обычной схемы работы.

Слышал звон, но не знаю о чем он.

Внизу зачем-то дропается все, корректнее выставить policy drop вверху.

И да и нет, policy drop это к дальней поездке может оказаться. Вероятность того, что вы очистите правила и окажитесь у разбитого корыта «немножко» не нулевая.

anc ★★★★★
(02.11.25 20:23:36 MSK)

Ответ на: комментарий от SterhTG 02.11.25 18:46:13 MSK

Внизу зачем-то дропается все, корректнее выставить policy drop вверху.

На этом форуме кто-то задавал вопрос по поводу правильности места указания дропа. Я целых пять минут пытался вникнуть в чём разница. Пришёл к выводу что её нет совсем

Dodik
(02.11.25 23:08:13 MSK) автор топика

Хотя стАпЭ!
В описанном мною случае, блокировать нелегитим надо! Ибо он попадёт в сеть (на что указал mky), а если указать policy drop в самом верху, получается что строчка ct state invalid drop будет лишней.
Правильно я понял?

Dodik
(02.11.25 23:14:18 MSK) автор топика

Ответ на: комментарий от Dodik 02.11.25 23:14:18 MSK

Да, кроме счетчика.

Anoxemian ★★★★★
(02.11.25 23:16:06 MSK)

Ответ на: комментарий от Anoxemian 02.11.25 23:16:06 MSK

Да, кроме счетчика.

Нет уважаемый. Я ради хохмы убрал снизу drop и заменил в самом верху policy accept, на polivy drop. Счётчики успешно продолжают крутиться, но что интересно на правиле ct state invalid counter drop циферки тоже бегут. Отсюда вывод, прям как нас учили в школе: - «От перемены мест слагаемых…»

table ip filter {
	chain INPUT {
		type filter hook input priority filter; policy drop;
		ct state established,related counter packets 91380 bytes 8666206 accept
		ct state invalid counter packets 461 bytes 54511 drop
		ip protocol icmp accept
	}

Dodik
(02.11.25 23:49:12 MSK) автор топика

Ответ на: комментарий от Dodik 02.11.25 23:49:12 MSK

нас учили в школе

ну штош, не вышло, значит.

Anoxemian ★★★★★
(02.11.25 23:55:47 MSK)

Ответ на: комментарий от anc 02.11.25 20:23:36 MSK

Поэтому в случае с nft нужно очищать не цепочку, а таблицу, чтобы никаких правил, никаких цепочек, никаких политик :)

mky ★★★★★
(03.11.25 03:01:34 MSK)

Карго-культ. Никто не понимает, зачем, но все копипастят, не думая.

Домашнее задание. Что будет, если не дропать state invalid.

vbr ★★★★★
(03.11.25 04:04:33 MSK)
Последнее исправление: vbr 03.11.25 04:05:05 MSK (всего исправлений: 1)

Ответ на: комментарий от mky 03.11.25 03:01:34 MSK

Поэтому в случае с nft нужно очищать не цепочку, а таблицу, чтобы никаких правил, никаких цепочек, никаких политик :)

Кардинально конечно, но тоже самое можно сказать и про предков nft «нужно очищать таблицу».

anc ★★★★★
(03.11.25 11:28:22 MSK)

←	Docker и организация хранения данных

Admin

Балансировка трафика на микротике с двумя провайдерами с BGP

→

Похожие темы