Les deux iptables peut avoir (Prendre, tout où n'importe où, n'importe où) et (DROP, tout lieu où que ce soit, n'importe où) dans sa chaîne INPUT?
Comment puis
tel quel
et
Dans sa chaîne INPUT?
Comme c'est important pour
avoir des règles pour
et
Tout le trafic dans son
Chaîne de stratégies par défaut
?
Le trafic dans cette affaire sera-t-il accepté ou jeté? Je vois qu'il y a des règles spéciales pour
et
, Ils feront donc naturellement un précédent parce qu'ils sont plus précis?
iptables-save:
iptables
tel quel
(ACCEPT, all, anywhere, anywhere)
et
(DROP, all, anywhere, anywhere)
Dans sa chaîne INPUT?
Comme c'est important pour
iptables
avoir des règles pour
ACCEPT
et
DROP
Tout le trafic dans son
INPUT
Chaîne de stratégies par défaut
DROP
?
Le trafic dans cette affaire sera-t-il accepté ou jeté? Je vois qu'il y a des règles spéciales pour
ssh
et
http
, Ils feront donc naturellement un précédent parce qu'ils sont plus précis?
# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
DROP all -- anywhere anywhere ctstate INVALID
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ctstate NEW,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:http ctstate NEW,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp spt:ssh ctstate ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp spt:http ctstate ESTABLISHED
iptables-save:
iptables-save
# Generated by iptables-save v1.6.1 on Sun Jun 23 10:21:50 2019
*filter
:INPUT DROP [1665:309354]
:FORWARD DROP [0:0]
:OUTPUT DROP [10:520]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Jun 23 10:21:50 2019
Aucun résultat connexe trouvé
Invité:
Pour répondre aux questions, connectez-vous ou registre
2 réponses
Catherine
Confirmation de:
Flag B.
http://ipset.netfilter.org/iptables.man.html
et utilise
Option:
,
Liste de toutes les règles de la chaîne sélectionnée. ...
DANS
exact
Les règles sont supprimées jusqu'à ce que vous utilisiez
Personnellement, je préfère débîner un ensemble complet de règles avec
Pour obtenir une critique rapide comment
Affiche également uniquement
filtre
table Par défaut, et vous devez clairement demander, par exemple, une table nat.
Lorsque vous discutez des ensembles de règles iptables Il est très utile d'ajouter des numéros de lignes aux données de sortie et d'imprimer des adresses IP numériques et des numéros de port:
Parce que
ne présente pas les règles exactes et ignore la règle d'interface pour faire confiance à tout le trafic sur l'interface de retour créée par
Affiché comme suit:
plutôt que:
Faites également attention à la façon dont la règle a été créée avec
Sans restrictions sur l'adresse IP (Gammes) de
et / ou
La règle s'applique à une adresse IP source et de destination (réseau / Masque de réseau 0.0.0.0/0).
Bien que ce n'était pas exactement le cas pour répondre à votre question initiale:
comment iptables Peut-être compléter complètement des règles dans une chaîne?
Parce que ni le noyau ni l'équipe iptables Pour gérer les règles, l'ensemble des règles en général n'interprète pas.
Chaque paquet est cohérent de manière constante pour le respect des règles dans l'ordre dans lequel elles sont répertoriées dans chaque chaîne correspondante.
. Selon la première règle, qui est une conformité de disposition, le traitement cesse.
Cela signifie que vous en tant qu'administrateur peut facilement créer des règles (Dans le mauvais ordre), Qui ressemblent complètement en face, mais ne sera jamais applicable car le colis correspondra toujours à la règle précédente.
Le noyau sera heureux de prendre:
(Où les trois derniers sont totalement inappropriés.) ou quelque chose de moins artificiel, par exemple:
Vous pouvez avoir une règle "Prendre toutes les connexions SSH», suivi de la règle "Ne pas exclure la connectivité SSH de 10.1.0.0/16». Malheureusement, il s'agit de la deuxième règle, bien que complètement correcte ne fonctionnera jamais car les connexions SSH de l'hôte avec l'adresse IP 10.1.2.3 Il sera toujours d'abord à correspondre à la règle «Prendre toutes les connexions SSH».
Dès que vous changez de l'ordre de ces règles ... Ensuite, tout fonctionnera comme prévu:
Hannah
Confirmation de:
correspond à la première règle
production:
Cette règle correspond uniquement au trafic sortant de l'interface.
, Interface de retour. Il ne correspond pas à la circulation provenant d'une autre interface. (par exemple, eth0).
Par conséquent, la politique par défaut
affectera tout trafic de n'importe quel appareil sauf
Tant qu'ils ne se rencontrent pas et non acceptés par une règle spécifique (par exemple, http, ssh, related-installed, ...).
Malheureusement
output Ne liste pas / N'affiche pas les détails de l'interface. Cela peut être clarifié en regardant
Conclusion ou utiliser
.