URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 94584
[ Назад ]
Исходное сообщение
"iptables: всем всё можно?"
Отправлено A.N. Onim , 15-Апр-13 10:04 
Есть некий сервер на котором установлен iptables с большим количеством правил в цепочке INPUT

$ iptables -L INPUT| wc -l
79

При этом второй строчкой в списке правил стоит

ACCEPT     all  --  anywhere             anywhere            

Я правильно понимаю, что это правило срабатывает вообще для всех пакетов, они получают ACCEPT, после чего все дальнейшие правила теряют смысл?

Содержание
Сообщения в этом обсуждении
"iptables: всем всё можно?"
Отправлено DearFriend , 15-Апр-13 10:39 
А куда нас отправляет первая строчка?
"iptables: всем всё можно?"
Отправлено A.N. Onim , 15-Апр-13 11:09 
> А куда нас отправляет первая строчка?

REJECT     all  --  anywhere             anywhere            state INVALID reject-with icmp-port-unreachable

"iptables: всем всё можно?"
Отправлено fa , 15-Апр-13 14:12 
Скорей всего это правило только для loopback-интерфейса (lo).

Посмотрите вот так:

# iptables -L -n -v
...
1138K   68M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0


"iptables: всем всё можно?"
Отправлено A.N. Onim , 15-Апр-13 14:37 
Похоже, это и вправду так:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
......        
7419K 1296M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0          

А как это можно было понять из вывода iptables -L ?

"iptables: всем всё можно?"
Отправлено stakado , 15-Апр-13 16:35 
>[оверквотинг удален]
>  pkts bytes target     prot opt in  
>    out     source  
>            
>  destination
> ......
> 7419K 1296M ACCEPT     all  --  lo
>     *      
> 0.0.0.0/0          
>  0.0.0.0/0
> А как это можно было понять из вывода iptables -L ?

Никак. Помимо IP-адресов, протоколов и портов в правилах фаервола так же учавствуют интерфейсы, которые важны не менее, чем остальных параметров.
В вашем случае именно в интерфейсе дело и есть.

"iptables: всем всё можно?"
Отправлено ALex_hha , 15-Апр-13 17:59 
> Есть некий сервер на котором установлен iptables с большим количеством правил в
> цепочке INPUT
> $ iptables -L INPUT| wc -l
> 79

п-ф-ф-ф-ф, я то думал там хотя бы 1k правил

"iptables: всем всё можно?"
Отправлено Mick , 24-Апр-13 19:00 
>> Есть некий сервер на котором установлен iptables с большим количеством правил в
>> цепочке INPUT
>> $ iptables -L INPUT| wc -l
>> 79
> п-ф-ф-ф-ф, я то думал там хотя бы 1k правил

1k правил для нагруженной системы примененные ко всем пакетам - мазохизм редкостный.
ipset весьма часто помогает превратить дофига правил в одно-два.

79 - тоже не айс, но жить можно, да.

"iptables: всем всё можно?"
Отправлено ALex_hha , 24-Апр-13 19:42 
>>> Есть некий сервер на котором установлен iptables с большим количеством правил в
>>> цепочке INPUT
>>> $ iptables -L INPUT| wc -l
>>> 79
>> п-ф-ф-ф-ф, я то думал там хотя бы 1k правил
> 1k правил для нагруженной системы примененные ко всем пакетам - мазохизм редкостный.
> ipset весьма часто помогает превратить дофига правил в одно-два.
> 79 - тоже не айс, но жить можно, да.

79 это вообще ни о чем.

~400 правил, 400 Мбит трафика. не жалуюсь

"iptables: всем всё можно?"
Отправлено LSTemp , 17-Май-13 04:41 
> Есть некий сервер на котором установлен iptables с большим количеством правил в
> цепочке INPUT
> $ iptables -L INPUT| wc -l
> 79
> При этом второй строчкой в списке правил стоит
> ACCEPT     all  --  anywhere  
>           anywhere
> Я правильно понимаю, что это правило срабатывает вообще для всех пакетов, они
> получают ACCEPT, после чего все дальнейшие правила теряют смысл?

Кто знает... стоит и порты правил смотреть, а не только srcIP+dstIP:

iptables -L -n -v