В чем ошибка моих правил Iptables?

Question

[Dmitry]

Здравствуйте. При использовании базовой настройки веб сервера, теряется исходящий трафик.
После выполнения, не могу даже apt update сделать на сервере. Хотя без этих правил, работает корректно.

#!/bin/bash

# Очистка всех правил
iptables -P INPUT ACCEPT; iptables -F

# Разрешение loopback трафика
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Разрешение новые исходящие 
iptables -A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT

# Разрешение DNS
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT

# Разрешение входящего трафика на 22 (SSH), 80 (HTTP), 443 (HTTPS), 3306 (MariaDB)
iptables -A INPUT -i enp3s0 -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i enp3s0 -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i enp3s0 -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i enp3s0 -p tcp --dport 3306 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

# Защита от атак DDoS SYN Flood
iptables -A INPUT -i enp3s0 -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A INPUT -i enp3s0 -p tcp --syn -j DROP

# Защита от атак DDoS ICMP Flood
iptables -A INPUT -i enp3s0 -p icmp --icmp-type 8 -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A INPUT -i enp3s0 -p icmp --icmp-type 8 -j DROP

# Защита от атак DDoS UDP Flood
iptables -A INPUT -i enp3s0 -p udp -m connlimit --connlimit-above 10 --connlimit-mask 32 -j DROP

# Запрет всех соединений по умолчанию
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Подскажите, где я мог ошибиться?

Comments

[mureevms]

# Запрет всех соединений по умолчанию
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Точно OUTPUT в ACCEPT, а не в DROP?

[Zzzz9]

mureevms, а почему нет?

[mureevms]

Zzzz9, потому, что для -P OUTPUT ACCEPT в данном примере нет смысла городить другие OUTPUT правила. А если они существуют, делаю вывод, что автор вопроса отлаживал скрипт и дал не верную информацию. Чтобы проверить и задаю вопрос

[Dmitry]

mureevms, точно, но изначально да, был DROP, потом я нагуглил и сделал ACCEPT
Но это мне не помогает

[Dmitry]

mureevms, было вот так:

#!/bin/bash

# Очистка всех правил
iptables -P INPUT ACCEPT; iptables -F

# Разрешение loopback трафика
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Запрет всех соединений по умолчанию
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Разрешение DNS
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT

# Разрешение входящего трафика на 22 (SSH), 80 (HTTP), 443 (HTTPS), 3306 (MariaDB)
iptables -A INPUT -i enp3s0 -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i enp3s0 -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i enp3s0 -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i enp3s0 -p tcp --dport 3306 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

# Защита от атак DDoS SYN Flood
iptables -A INPUT -i enp3s0 -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A INPUT -i enp3s0 -p tcp --syn -j DROP

# Защита от атак DDoS ICMP Flood
iptables -A INPUT -i enp3s0 -p icmp --icmp-type 8 -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A INPUT -i enp3s0 -p icmp --icmp-type 8 -j DROP

# Защита от атак DDoS UDP Flood
iptables -A INPUT -i enp3s0 -p udp -m connlimit --connlimit-above 10 --connlimit-mask 32 -j DROP

Обнаружил проблему, попробовал разрешить OUTPUT и сделал вот так:
iptables -P OUTPUT ACCEPT
Не помогло мне, ошибка сохранилась, попробовал еще добавить правило:

# Разрешение новые исходящие 
iptables -A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT

Не помогло, попробовал перенести сверху вниз:

# Запрет всех соединений по умолчанию
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Не помогло, и я написал сюда

[Zzzz9]

mureevms, про правила OUTPUT согласен, но для отладки пусть будет ACCEPT, там еще много мутных правил, например iptables -A INPUT -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT, там есть DNS сервер?, почему только udp?

[mureevms]

Dmitry, смотрите мой коммент в ответе Zzzz9, он правильно сказал и думаю причина в этом

[mureevms]

Zzzz9, у нас стоит задача, что не идет исходящий трафик, мы не настраиваем тут фаервол )

[mureevms]

А вообще, я бы не рекомендовал играться с OUTPUT полиси в DROP, поставьте ACCEPT и все будет работать. Вы же не знаете с какого порта будет происходить соединение, поскольку он выбирается рандомно

[Zzzz9]

Так и я об этом, а если нужно что-то ограничить добавить соответствующее правило.

Answer 1

[Zzzz9]

Если входящие iptables -P INPUT DROP , по какому правилу будут приходить ответы на запросы.

Comments

[mureevms]

Они приходят по уже установленному через OUTPUT соединению. Это не новоый INPUT

[Zzzz9]

да, где это правило?

[mureevms]

Zzzz9, для этого не требуется правила, поскольку ответ принимается через уже существуещее исходящее соединение, созданное при OUTPUT.

[Zzzz9]

типа такого: -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

[mureevms]

Zzzz9, Вы правы, я перепутал OUTPUT с INPUT в этом правиле

iptables -A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT

Его надо заменить на

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

И поставить OUTPUT полиси в ACCEPT

[Dmitry]

mureevms, Спасибо, это решило проблему