Задать вопрос
T_y_l_e_r
@T_y_l_e_r

Что делает это правило iptables?

Помогите разобраться с правилом, что оно делает?

# Generated by iptables-save v1.4.7
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [52839:6255656]
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp -s 188.163.11.25 --sport 1191 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -o eth0 -p udp -m udp -d 188.163.11.25 --dport 1191 -j ACCEPT
-A OUTPUT -o wlan0 -p udp -m udp -d 188.163.11.25 --dport 1191 -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT
-A OUTPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT


Только просьба очень точно, это важно.
  • Вопрос задан
  • 3985 просмотров
Подписаться 1 Оценить Комментировать
Решения вопроса 3
@mureevms
  1. :INPUT ACCEPT [0:0]
  2. :FORWARD ACCEPT [0:0]
  3. :OUTPUT ACCEPT [52839:6255656]
  4. -A INPUT -i lo -j ACCEPT
  5. -A INPUT -p udp -m udp -s 188.163.11.25 --sport 1191 -m state --state RELATED,ESTABLISHED -j ACCEPT
  6. -A INPUT -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
  7. -A INPUT -j REJECT --reject-with icmp-host-prohibited
  8. -A FORWARD -j REJECT --reject-with icmp-host-prohibited
  9. -A OUTPUT -o eth0 -p udp -m udp -d 188.163.11.25 --dport 1191 -j ACCEPT
  10. -A OUTPUT -o wlan0 -p udp -m udp -d 188.163.11.25 --dport 1191 -j ACCEPT
  11. -A OUTPUT -o tun0 -j ACCEPT
  12. -A OUTPUT -j REJECT --reject-with icmp-host-prohibited

1, 2 и 3 правила устанавливают политики по умолчанию в ACCEPT. Т.е. если пакет не попал ни в одно правило ниже по списку, то он попадает в одно из этих трех.
4. Разрешает все входящие пакеты с lo интерфейса
5. Разрешает входящие пакеты в состоянии RELATED,ESTABLISHED только с удаленного хоста 188.163.11.25 и только по порту 1191\UDP
6. Разрешает входящие пакеты в состоянии RELATED,ESTABLISHED только с интерфейса tun0
7. Все остальные входящие пакеты отбрасывает с сообщением узел запрещен (icmp-host-prohibited)
8. Все транзитные пакеты отбрасывает с сообщением узел запрещен
9. Разрешает исходящие пакеты с интерфейса eth0 на удаленный хост 188.163.11.25 и порт 1191\UDP
10. Аналогично 9, только с интерфейса wlan0
11. Разрешает все исходящие пакеты с интерфейса tun0
12. Отбрасывает все остальные исходящие пакеты с сообщением узел запрещен
Ответ написан
Комментировать
Vovanys
@Vovanys
9 правил.
порт 1191 (openvpn?) запретить всем кроме 188.163.11.25
Ответ написан
Комментировать
MaxDukov
@MaxDukov
впишусь в проект как SRE/DevOps.
это не одно правило, а несколько.
читайте так
-A - это имя цепочки.
-i/-o - интерфейс(входящий и выходящий)
-j - действие
-p - протокол
-s - адрес источника
-d - адрес получателя
--dport - порт получателя (--sport - был бы порт отправителя)
-m - дополнительные модули.
всякое остальное с "--" понятно из названия, либо как именно реджектнуть, либо состояние.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы