Цепочки filter rules в firewall как правильнее?

Question

[Альберт Крожежепицкай]

Подскажите где правильнее выставлять правила, как в примере 1

Цепочка input
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input connection-state=invalid
add action=accept chain=input dst-port=1701 protocol=udp
add action=drop chain=input 

Цепочка forward
add action=accept chain=forward connection-state=established
add action=accept chain=forward connection-state=related
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward dst-address=192.168.1.10 dst-port=21 protocol=tcp
add action=drop chain=forward

или вот так (пример 2)

Цепочка input
add action=accept chain=input dst-port=1701 protocol=udp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input connection-state=invalid
add action=drop chain=input 

Цепочка forward
add action=accept chain=forward dst-address=192.168.1.10 dst-port=21 protocol=tcp
add action=accept chain=forward connection-state=established
add action=accept chain=forward connection-state=related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward

Заметил что если established и related выше, то в правилах ниже перестают пролетать пакеты

Comments

[Lynn «Кофеман»]

Ну так поиск идёт до первого совпадения. Так что правила которые чаще срабатывают стоит поставить выше

Answer 1

[Дмитрий Шицков]

1. Drop inavild
2. Established, Related
3. Прочие правила Accept
4*. Drop all