Файрвол ubuntu. Как входящий пакет «путешествует» по правилам?

Question

CeBePHblY @CeBePHblY

Файрвол ubuntu. Как входящий пакет «путешествует» по правилам?

В файрвол приписал правила:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
iptables -A INPUT -j DROP
Меня интересует вопрос: пришёл пакет из сети, предназначен для 80 порта, как я понял он проверяется по правилам с верху в низ. поверяем на соответствие 1 правилу: да он для 80 порта, пропускаем пакет... а что дальше? этот же самый пакет проверяется по остальным правилам? или при первом же совпадении ему не добраться до других правил?

Вопрос задан более трёх лет назад
303 просмотра

Комментировать

Подписаться 1 Оценить Комментировать

Помогут разобраться в теме Все курсы

Skillfactory

Профессия C++ разработчик

11 месяцев

Далее
Stepik

Основы работы в консоли Linux, настройка сетевых служб (кластер)

1 неделя

Далее
Слёрм

Linux для разработчиков

2 недели

Далее

Решения вопроса 1

9 комментариев

CeBePHblY @CeBePHblY Автор вопроса

то есть при первом совпадении, его участь решается только этим правилом? а если так:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.1.1 -j ACCEPT
допустим мне нужен доступ только с этого ИП, а при таком раскладе все будут иметь доступ к этому порту? это значит надо придумывать это правило объединить в одно?

Написано более трёх лет назад
CeBePHblY @CeBePHblY Автор вопроса

простите за опечатка. значит надо лучше продумывать логику правил? а в данном случае надо просто эти 2 правила объединить в одно?

Написано более трёх лет назад
mace-ftl @mace-ftl

в примере выше логика
1) "пускаем порт 80 со всех айпи адресов по TCP"
2) пускаем 192.168.1.1 по всем портам
3) Далее зависит от дефолтной политики - если она дроп то будет всё остальное DROP

Написано более трёх лет назад
mace-ftl @mace-ftl

а, понял суть вопроса. Ответ "если дефолтная политика таблицы INPUT = DROP - то да, все ИЛИ на 80-й порт ИЛИ от 192.168.1.1" будут ACCEPT

Написано более трёх лет назад
CeBePHblY @CeBePHblY Автор вопроса

т.е. пакет соответствующий 1 правилу не дойдёт до 2 правила?

Написано более трёх лет назад
mace-ftl @mace-ftl

CeBePHblY:
1) в примере из коммента - дойдёт до второго
2) Не дойдёт если первое правило это "дропать все пакеты НЕ 80-го порта" (т.е. DROP для -port ! 80 грубо говоря), а у Вас "пропускать все пакеты 80-го порта, и если не совпало - выполнять правила дальше"

Написано более трёх лет назад
CeBePHblY @CeBePHblY Автор вопроса

я вас что то не пойму)
1)в примере из коммента - дойдёт до второго
2)у Вас "пропускать все пакеты 80-го порта, и если не совпало - выполнять правила дальше"

Написано более трёх лет назад
mace-ftl @mace-ftl

ммм, если правило "совпало", и оно ACCEPT\REJECT\DROP то следующие не выполняются

Написано более трёх лет назад
CeBePHblY @CeBePHblY Автор вопроса

во) спасибо!

Написано более трёх лет назад