LINUX.ORG.RU
ФорумAdmin

Стандартные правила фаирвола iptables. Что-то я их не понимаю.


0

2

Есть у меня сервачек с CentOS 5.8. В файле /etc/sysconfig/iptables оказались прописаны следующие правила:

*filter

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]

-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

Так вот читаю документацию по фаирволу и не понимаю. В цепочках в самом начале прописано примерно следующее: пакеты вида INPUT, FORWARD, OUTPUT принимать по умолчанию:

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

Вопрос. Зачем тогда понаписаны все последующие правила с доступом ACCEPT, если и так по-умолчанию для всех видов пакетов стоит ACCEPT?

★★★★★

Зачем тогда понаписаны все последующие правила с доступом ACCEPT, если и так по-умолчанию для всех видов пакетов стоит ACCEPT?

потому-что если пакет не попадет ни под одну политику ACCEPT, то он вывалится в последнюю безусловную политику REJECT (см. в самом конце).

И политики проброса в RH-Firewall-1-INPUT тоже безусловные, потому пакеты никогда не попадут под политику по умолчанию.

drBatty ★★ ()

iptables tutorial уже прочитан?
по теме - все пакеты из главной цепочки INPUT заворачиваются в RH-Firewall-1-INPUT в конце которой стоит REJECT.

Bers666 ★★★★★ ()

по этой политике, как я понял, будет открыт у тебя только порт 22 (ssh, закрой, открой другой какой-нить), 631й порт, esp и ah (гугли, не помню что). Всё остальное будет отброшено. Ну и пинги с локалхостом работают.

drBatty ★★ ()
Ответ на: комментарий от drBatty

по этой политике, как я понял, будет открыт у тебя только порт 22 (ssh, закрой, открой другой какой-нить), 631й порт, esp и ah (гугли, не помню что). Всё остальное будет отброшено. Ну и пинги с локалхостом работают.

Это дефолтные настройки фраера в центоси, к слову.

tazhate ★★★★★ ()
Ответ на: комментарий от drBatty

То есть пакеты, которые находились в системной цепочке INPUT и были переброшены в другую цепочку с помощью правила

-A INPUT -j RH-Firewall-1-INPUT

после переброски уже не считаются «входящими», и к INPUT отношения не имеют.

Правильно понял?

Xintrea ★★★★★ ()
Ответ на: комментарий от tazhate

Это дефолтные настройки фраера в центоси, к слову.

мы с ТСом в курсе.

drBatty ★★ ()
Ответ на: комментарий от Xintrea

Правильно понял?

не совсем. Если выйдут, то опять считаются. Но с REJECT они отбрасываются вообще. А вот с ACCEPT пропускаются, и опять возвращаются. На опеннете подробно и грамотно расписано. http://www.opennet.ru/docs/RUS/iptables/

drBatty ★★ ()
Ответ на: комментарий от drBatty

Ну коль пошла такая пьянка, может кто-то объяснит, что значит политика доступа по-умолчанию типа «прочерк»:

:RH-Firewall-1-INPUT - [0:0]

Это означает что нет политики доступа по-умолчанию? А что будет происходить с пакетами по-умолчанию?

Другими словами в эту цепочку перенаправлены цепочки INPUT и FORWARD. Что будет с пакетами в цепочке RH-Firewall-1-INPUT если будет

:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]

?

Для пакета из INPUT сохранится ACCEPT, а для FORWARD будет DROP? Или поведение фильтра будет каким-то другим?

Xintrea ★★★★★ ()
Ответ на: комментарий от Xintrea

ссылку я дал. вот

Политика по-умолчанию представляет собой действие, которое применяется к пакету, не попавшему под действие ни одного из правил в цепочке. (Небольшое уточнение, команда iptables -P применима ТОЛЬКО К ВСТРОЕННЫМ цепочкам, т.е. INPUT, FORWARD, OUTPUT и т.п., и не применима к пользовательским цепочкам. прим. перев.).

drBatty ★★ ()
Ответ на: комментарий от Xintrea

Ничего не изменится. Из RH-Firewall-1-INPUT ничего не выходит (либо ACCEPT, либо REJECT), поэтому какая политика INPUT и FORWARD в этом случае не важно.

mky ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.