Странное поведение iptables -F — в чем причина?

Question

[CraSS]

Коллеги, вроде есть у меня VPS-ка c Desbian, там прописываются правила iptables при поднятии сетевого интерефейса. т.е. скрипт с правилами лежит тут: /etc/network/if-up.d.

В скрипте вот что:

#!/bin/sh
### Скрипт конфигурации IPTables ###
# Очищаем предыдущие записи
iptables -F
# Установка политик по умолчанию
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# Разрешаем локальный интерфейс
iptables -A INPUT -i lo -j ACCEPT
# Простая защита от DoS-атаки
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Защита от спуфинга
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-wit
h tcp-reset
# Защита от попытки открыть входящее соединение TCP не через SYN
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
# Закрываемся от кривого icmp
iptables -I INPUT -p icmp -f -j DROP
# REL, ESTB allow
iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
# Разрешаем рабочие порты
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# Разрешение главных типов протокола ICMP
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT

Вроде бы все хорошо и работает. Однако, выдалась нужда мне поэкспериментировать, для этого хотел обнулить все правила. Вроде бы нет ничего проще: iptables -F и все готово...

Однако же, при выполнении этой команды из консоли дроплет либо виснет, либо просто никого не пускает. ssh отваливается, на сайт не достучаться... Помогает только выкл/вкл дроплета из панели хостера

Собственно, вопрос. Что происходит? И как тогда очистить правила iptables?

Answer 1

[Влад Животнев]

# Установка политик по умолчанию
iptables -P INPUT DROP

А чего вы ожидали) ?

Когда вы делаете -F с такой дефолтной политикой - весь входящий трафик начинает дропаться.

Comments

[CraSS]

Ну, вот так как я не большой специалист, поэтому и прашиваю =)

т.е. при -F, политики не сбрасываются? А как и их тогда обнулить?

Посмотрел -h. Получается, что последовательно
iptables -P
iptables -X
iptables -F

??

[Влад Животнев]

@CraSS
Flush the selected chain (all the chains in the table if none is given). This is equivalent to deleting all the rules one by one.
Здесь ничего вообще не говорится о политиках) Только удаление всех правил в дефолтоцепочках.

-P и -X нужно с соответствующими параметрами запускать, а так - да.

Answer 2

[kresska]

Политика остается, а правила - нет. В итоге, "Всех убить, никого не щадить!"

Answer 3

[Камил]

Ну или вот так:

iptables -P INPUT ACCEPT; iptables -F