The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"iptables: всем всё можно?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Изначальное сообщение [ Отслеживать ]

"iptables: всем всё можно?"  +/
Сообщение от A.N. Onim on 15-Апр-13, 10:04 
Есть некий сервер на котором установлен iptables с большим количеством правил в цепочке INPUT

$ iptables -L INPUT| wc -l
79

При этом второй строчкой в списке правил стоит

ACCEPT     all  --  anywhere             anywhere            

Я правильно понимаю, что это правило срабатывает вообще для всех пакетов, они получают ACCEPT, после чего все дальнейшие правила теряют смысл?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "iptables: всем всё можно?"  +/
Сообщение от DearFriend on 15-Апр-13, 10:39 
А куда нас отправляет первая строчка?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "iptables: всем всё можно?"  +/
Сообщение от A.N. Onim on 15-Апр-13, 11:09 
> А куда нас отправляет первая строчка?

REJECT     all  --  anywhere             anywhere            state INVALID reject-with icmp-port-unreachable

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "iptables: всем всё можно?"  +/
Сообщение от fa email(??) on 15-Апр-13, 14:12 
Скорей всего это правило только для loopback-интерфейса (lo).

Посмотрите вот так:

# iptables -L -n -v
...
1138K   68M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "iptables: всем всё можно?"  +/
Сообщение от A.N. Onim on 15-Апр-13, 14:37 
Похоже, это и вправду так:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
......        
7419K 1296M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0          

А как это можно было понять из вывода iptables -L ?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "iptables: всем всё можно?"  +/
Сообщение от stakado email(ok) on 15-Апр-13, 16:35 
>[оверквотинг удален]
>  pkts bytes target     prot opt in  
>    out     source  
>            
>  destination
> ......
> 7419K 1296M ACCEPT     all  --  lo
>     *      
> 0.0.0.0/0          
>  0.0.0.0/0
> А как это можно было понять из вывода iptables -L ?

Никак. Помимо IP-адресов, протоколов и портов в правилах фаервола так же учавствуют интерфейсы, которые важны не менее, чем остальных параметров.
В вашем случае именно в интерфейсе дело и есть.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "iptables: всем всё можно?"  +/
Сообщение от ALex_hha (ok) on 15-Апр-13, 17:59 
> Есть некий сервер на котором установлен iptables с большим количеством правил в
> цепочке INPUT
> $ iptables -L INPUT| wc -l
> 79

п-ф-ф-ф-ф, я то думал там хотя бы 1k правил

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "iptables: всем всё можно?"  +/
Сообщение от Mick (??) on 24-Апр-13, 19:00 
>> Есть некий сервер на котором установлен iptables с большим количеством правил в
>> цепочке INPUT
>> $ iptables -L INPUT| wc -l
>> 79
> п-ф-ф-ф-ф, я то думал там хотя бы 1k правил

1k правил для нагруженной системы примененные ко всем пакетам - мазохизм редкостный.
ipset весьма часто помогает превратить дофига правил в одно-два.

79 - тоже не айс, но жить можно, да.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "iptables: всем всё можно?"  +/
Сообщение от ALex_hha (ok) on 24-Апр-13, 19:42 
>>> Есть некий сервер на котором установлен iptables с большим количеством правил в
>>> цепочке INPUT
>>> $ iptables -L INPUT| wc -l
>>> 79
>> п-ф-ф-ф-ф, я то думал там хотя бы 1k правил
> 1k правил для нагруженной системы примененные ко всем пакетам - мазохизм редкостный.
> ipset весьма часто помогает превратить дофига правил в одно-два.
> 79 - тоже не айс, но жить можно, да.

79 это вообще ни о чем.

~400 правил, 400 Мбит трафика. не жалуюсь

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "iptables: всем всё можно?"  +/
Сообщение от LSTemp (ok) on 17-Май-13, 04:41 
> Есть некий сервер на котором установлен iptables с большим количеством правил в
> цепочке INPUT
> $ iptables -L INPUT| wc -l
> 79
> При этом второй строчкой в списке правил стоит
> ACCEPT     all  --  anywhere  
>           anywhere
> Я правильно понимаю, что это правило срабатывает вообще для всех пакетов, они
> получают ACCEPT, после чего все дальнейшие правила теряют смысл?

Кто знает... стоит и порты правил смотреть, а не только srcIP+dstIP:

iptables -L -n -v

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру