Задать вопрос
T_y_l_e_r
@T_y_l_e_r
linux

Что делает это правило iptables?

Помогите разобраться с правилом, что оно делает?

# Generated by iptables-save v1.4.7
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [52839:6255656]
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp -s 188.163.11.25 --sport 1191 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -o eth0 -p udp -m udp -d 188.163.11.25 --dport 1191 -j ACCEPT
-A OUTPUT -o wlan0 -p udp -m udp -d 188.163.11.25 --dport 1191 -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT
-A OUTPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT


Только просьба очень точно, это важно.
  • Вопрос задан
  • 3964 просмотра
Комментировать
Подписаться 1 Оценить Комментировать
Решения вопроса 3
@mureevms
  1. :INPUT ACCEPT [0:0]
  2. :FORWARD ACCEPT [0:0]
  3. :OUTPUT ACCEPT [52839:6255656]
  4. -A INPUT -i lo -j ACCEPT
  5. -A INPUT -p udp -m udp -s 188.163.11.25 --sport 1191 -m state --state RELATED,ESTABLISHED -j ACCEPT
  6. -A INPUT -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
  7. -A INPUT -j REJECT --reject-with icmp-host-prohibited
  8. -A FORWARD -j REJECT --reject-with icmp-host-prohibited
  9. -A OUTPUT -o eth0 -p udp -m udp -d 188.163.11.25 --dport 1191 -j ACCEPT
  10. -A OUTPUT -o wlan0 -p udp -m udp -d 188.163.11.25 --dport 1191 -j ACCEPT
  11. -A OUTPUT -o tun0 -j ACCEPT
  12. -A OUTPUT -j REJECT --reject-with icmp-host-prohibited

1, 2 и 3 правила устанавливают политики по умолчанию в ACCEPT. Т.е. если пакет не попал ни в одно правило ниже по списку, то он попадает в одно из этих трех.
4. Разрешает все входящие пакеты с lo интерфейса
5. Разрешает входящие пакеты в состоянии RELATED,ESTABLISHED только с удаленного хоста 188.163.11.25 и только по порту 1191\UDP
6. Разрешает входящие пакеты в состоянии RELATED,ESTABLISHED только с интерфейса tun0
7. Все остальные входящие пакеты отбрасывает с сообщением узел запрещен (icmp-host-prohibited)
8. Все транзитные пакеты отбрасывает с сообщением узел запрещен
9. Разрешает исходящие пакеты с интерфейса eth0 на удаленный хост 188.163.11.25 и порт 1191\UDP
10. Аналогично 9, только с интерфейса wlan0
11. Разрешает все исходящие пакеты с интерфейса tun0
12. Отбрасывает все остальные исходящие пакеты с сообщением узел запрещен
Ответ написан
Комментировать
Комментировать
Vovanys
@Vovanys
9 правил.
порт 1191 (openvpn?) запретить всем кроме 188.163.11.25
Ответ написан
Комментировать
Комментировать
MaxDukov
@MaxDukov
впишусь в проект как SRE/DevOps.
это не одно правило, а несколько.
читайте так
-A - это имя цепочки.
-i/-o - интерфейс(входящий и выходящий)
-j - действие
-p - протокол
-s - адрес источника
-d - адрес получателя
--dport - порт получателя (--sport - был бы порт отправителя)
-m - дополнительные модули.
всякое остальное с "--" понятно из названия, либо как именно реджектнуть, либо состояние.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Системный администратор Astra Linux
Гринатом Новосибирск
До 60 000 ₽
Системный инженер (Windows/Astra Linux)
Гринатом Новосибирск
До 57 000 ₽
Ведущий инженер Linux
Интер РАО – Управление сервисами Москва
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Обработать фото в стиле ASCII
22 нояб. 2024, в 08:04
1 руб./за проект
Сверстать десктоп версию сайта в tailwind
22 нояб. 2024, в 06:06
1500 руб./в час
Создать TG бота
22 нояб. 2024, в 06:04
1 руб./за проект
Ещё заказы