https://slinkov.ru/openforum/vsluhforumID1/94584.html Есть некий сервер на котором установлен iptables с большим количеством правил в цепочке INPUT<br><br>$ iptables -L INPUT&#124; wc -l<br>79<br><br>При этом второй строчкой в списке правил стоит<br><br>ACCEPT all -- anywhere anywhere <br><br>Я правильно понимаю, что это правило срабатывает вообще для всех пакетов, они получают ACCEPT, после чего все дальнейшие правила теряют смысл?<br> https://slinkov.ru/openforum/vsluhforumID1/94584.html#9 Fri, 17 May 2013 00:41:29 GMT &gt; Есть некий сервер на котором установлен iptables с большим количеством правил в <br>&gt; цепочке INPUT <br>&gt; $ iptables -L INPUT&#124; wc -l <br>&gt; 79 <br>&gt; При этом второй строчкой в списке правил стоит <br>&gt; ACCEPT all -- anywhere <br>&gt; anywhere <br>&gt; Я правильно понимаю, что это правило срабатывает вообще для всех пакетов, они <br>&gt; получают ACCEPT, после чего все дальнейшие правила теряют смысл?<br><br>Кто знает... стоит и порты правил смотреть, а не только srcIP+dstIP:<br><br>iptables -L -n -v<br><br><br><br> https://slinkov.ru/openforum/vsluhforumID1/94584.html#8 Wed, 24 Apr 2013 15:42:32 GMT &gt;&gt;&gt; Есть некий сервер на котором установлен iptables с большим количеством правил в <br>&gt;&gt;&gt; цепочке INPUT <br>&gt;&gt;&gt; $ iptables -L INPUT&#124; wc -l <br>&gt;&gt;&gt; 79 <br>&gt;&gt; п-ф-ф-ф-ф, я то думал там хотя бы 1k правил <br>&gt; 1k правил для нагруженной системы примененные ко всем пакетам - мазохизм редкостный. <br>&gt; ipset весьма часто помогает превратить дофига правил в одно-два.<br>&gt; 79 - тоже не айс, но жить можно, да.<br><br>79 это вообще ни о чем.<br><br>~400 правил, 400 Мбит трафика. не жалуюсь<br><br> https://slinkov.ru/openforum/vsluhforumID1/94584.html#7 Wed, 24 Apr 2013 15:00:19 GMT &gt;&gt; Есть некий сервер на котором установлен iptables с большим количеством правил в <br>&gt;&gt; цепочке INPUT <br>&gt;&gt; $ iptables -L INPUT&#124; wc -l <br>&gt;&gt; 79 <br>&gt; п-ф-ф-ф-ф, я то думал там хотя бы 1k правил <br><br>1k правил для нагруженной системы примененные ко всем пакетам - мазохизм редкостный. <br>ipset весьма часто помогает превратить дофига правил в одно-два.<br><br>79 - тоже не айс, но жить можно, да.<br> https://slinkov.ru/openforum/vsluhforumID1/94584.html#6 Mon, 15 Apr 2013 13:59:16 GMT &gt; Есть некий сервер на котором установлен iptables с большим количеством правил в <br>&gt; цепочке INPUT <br>&gt; $ iptables -L INPUT&#124; wc -l <br>&gt; 79 <br><br>п-ф-ф-ф-ф, я то думал там хотя бы 1k правил<br> https://slinkov.ru/openforum/vsluhforumID1/94584.html#5 Mon, 15 Apr 2013 12:35:53 GMT &gt;[оверквотинг удален]<br>&gt; pkts bytes target prot opt in <br>&gt; out source <br>&gt; <br>&gt; destination <br>&gt; ......<br>&gt; 7419K 1296M ACCEPT all -- lo <br>&gt; * <br>&gt; 0.0.0.0/0 <br>&gt; 0.0.0.0/0 <br>&gt; А как это можно было понять из вывода iptables -L ?<br><br>Никак. Помимо IP-адресов, протоколов и портов в правилах фаервола так же учавствуют интерфейсы, которые важны не менее, чем остальных параметров.<br>В вашем случае именно в интерфейсе дело и есть.<br><br> https://slinkov.ru/openforum/vsluhforumID1/94584.html#4 Mon, 15 Apr 2013 10:37:03 GMT Похоже, это и вправду так:<br><br>Chain INPUT (policy ACCEPT 0 packets, 0 bytes)<br> pkts bytes target prot opt in out source destination<br>...... <br>7419K 1296M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 <br><br>А как это можно было понять из вывода iptables -L ?<br> https://slinkov.ru/openforum/vsluhforumID1/94584.html#3 Mon, 15 Apr 2013 10:12:45 GMT Скорей всего это правило только для loopback-интерфейса (lo).<br><br>Посмотрите вот так:<br><br># iptables -L -n -v<br>...<br>1138K 68M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 <br><br><br> https://slinkov.ru/openforum/vsluhforumID1/94584.html#2 Mon, 15 Apr 2013 07:09:10 GMT &gt; А куда нас отправляет первая строчка?<br><br>REJECT all -- anywhere anywhere state INVALID reject-with icmp-port-unreachable <br> https://slinkov.ru/openforum/vsluhforumID1/94584.html#1 Mon, 15 Apr 2013 06:39:55 GMT А куда нас отправляет первая строчка?<br>