Стандартные правила фаирвола iptables. Что-то я их не понимаю.

0

2

Есть у меня сервачек с CentOS 5.8. В файле /etc/sysconfig/iptables оказались прописаны следующие правила:

*filter

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]

-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

Так вот читаю документацию по фаирволу и не понимаю. В цепочках в самом начале прописано примерно следующее: пакеты вида INPUT, FORWARD, OUTPUT принимать по умолчанию:

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

Вопрос. Зачем тогда понаписаны все последующие правила с доступом ACCEPT, если и так по-умолчанию для всех видов пакетов стоит ACCEPT?

Ссылка

←	Подключение к домену

Блокировка доступа к ресурсу(ам).

→

Зачем тогда понаписаны все последующие правила с доступом ACCEPT, если и так по-умолчанию для всех видов пакетов стоит ACCEPT?

потому-что если пакет не попадет ни под одну политику ACCEPT, то он вывалится в последнюю безусловную политику REJECT (см. в самом конце).

И политики проброса в RH-Firewall-1-INPUT тоже безусловные, потому пакеты никогда не попадут под политику по умолчанию.

~~drBatty~~ ★★
(01.03.13 16:23:36 MSK)

iptables tutorial уже прочитан?
по теме - все пакеты из главной цепочки INPUT заворачиваются в RH-Firewall-1-INPUT в конце которой стоит REJECT.

Bers666 ★★★★★
(01.03.13 16:23:48 MSK)

Ссылка

по этой политике, как я понял, будет открыт у тебя только порт 22 (ssh, закрой, открой другой какой-нить), 631й порт, esp и ah (гугли, не помню что). Всё остальное будет отброшено. Ну и пинги с локалхостом работают.

~~drBatty~~ ★★
(01.03.13 16:27:53 MSK)

Ответ на: комментарий от drBatty 01.03.13 16:27:53 MSK

по этой политике, как я понял, будет открыт у тебя только порт 22 (ssh, закрой, открой другой какой-нить), 631й порт, esp и ah (гугли, не помню что). Всё остальное будет отброшено. Ну и пинги с локалхостом работают.

Это дефолтные настройки фраера в центоси, к слову.

tazhate ★★★★★
(01.03.13 16:29:30 MSK)

Ответ на: комментарий от drBatty 01.03.13 16:23:36 MSK

То есть пакеты, которые находились в системной цепочке INPUT и были переброшены в другую цепочку с помощью правила

-A INPUT -j RH-Firewall-1-INPUT

после переброски уже не считаются «входящими», и к INPUT отношения не имеют.

Правильно понял?

Xintrea ★★★★★
(01.03.13 16:30:23 MSK) автор топика

Ответ на: комментарий от tazhate 01.03.13 16:29:30 MSK

Это дефолтные настройки фраера в центоси, к слову.

мы с ТСом в курсе.

~~drBatty~~ ★★
(01.03.13 16:38:27 MSK)

Ссылка

Ответ на: комментарий от Xintrea 01.03.13 16:30:23 MSK

Правильно понял?

не совсем. Если выйдут, то опять считаются. Но с REJECT они отбрасываются вообще. А вот с ACCEPT пропускаются, и опять возвращаются. На опеннете подробно и грамотно расписано. http://www.opennet.ru/docs/RUS/iptables/

~~drBatty~~ ★★
(01.03.13 16:41:13 MSK)

Ссылка

Ответ на: комментарий от Xintrea 01.03.13 16:30:23 MSK

короче «цепочки» это типа подпрограмм. Тут одна вложенная цепочка в двух используется: INPUT и FORWARD.

~~drBatty~~ ★★
(01.03.13 16:42:34 MSK)

Ответ на: комментарий от drBatty 01.03.13 16:42:34 MSK

Ну коль пошла такая пьянка, может кто-то объяснит, что значит политика доступа по-умолчанию типа «прочерк»:

:RH-Firewall-1-INPUT - [0:0]

Это означает что нет политики доступа по-умолчанию? А что будет происходить с пакетами по-умолчанию?

Другими словами в эту цепочку перенаправлены цепочки INPUT и FORWARD. Что будет с пакетами в цепочке RH-Firewall-1-INPUT если будет

:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]

?

Для пакета из INPUT сохранится ACCEPT, а для FORWARD будет DROP? Или поведение фильтра будет каким-то другим?

Xintrea ★★★★★
(01.03.13 17:02:57 MSK) автор топика

Ответ на: комментарий от Xintrea 01.03.13 17:02:57 MSK

ссылку я дал. вот

Политика по-умолчанию представляет собой действие, которое применяется к пакету, не попавшему под действие ни одного из правил в цепочке. (Небольшое уточнение, команда iptables -P применима ТОЛЬКО К ВСТРОЕННЫМ цепочкам, т.е. INPUT, FORWARD, OUTPUT и т.п., и не применима к пользовательским цепочкам. прим. перев.).

~~drBatty~~ ★★
(01.03.13 18:47:26 MSK)

Ссылка

Ответ на: комментарий от Xintrea 01.03.13 17:02:57 MSK

Ничего не изменится. Из RH-Firewall-1-INPUT ничего не выходит (либо ACCEPT, либо REJECT), поэтому какая политика INPUT и FORWARD в этом случае не важно.

mky ★★★★★
(02.03.13 23:56:40 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Подключение к домену

Admin

Блокировка доступа к ресурсу(ам).

→

Похожие темы