Задать вопрос

Странное поведение iptables -F — в чем причина?

Коллеги, вроде есть у меня VPS-ка c Desbian, там прописываются правила iptables при поднятии сетевого интерефейса. т.е. скрипт с правилами лежит тут: /etc/network/if-up.d.

В скрипте вот что:

#!/bin/sh
### Скрипт конфигурации IPTables ###
# Очищаем предыдущие записи
iptables -F
# Установка политик по умолчанию
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# Разрешаем локальный интерфейс
iptables -A INPUT -i lo -j ACCEPT
# Простая защита от DoS-атаки
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Защита от спуфинга
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-wit
h tcp-reset
# Защита от попытки открыть входящее соединение TCP не через SYN
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
# Закрываемся от кривого icmp
iptables -I INPUT -p icmp -f -j DROP
# REL, ESTB allow
iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
# Разрешаем рабочие порты
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# Разрешение главных типов протокола ICMP
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT


Вроде бы все хорошо и работает. Однако, выдалась нужда мне поэкспериментировать, для этого хотел обнулить все правила. Вроде бы нет ничего проще: iptables -F и все готово...

Однако же, при выполнении этой команды из консоли дроплет либо виснет, либо просто никого не пускает. ssh отваливается, на сайт не достучаться... Помогает только выкл/вкл дроплета из панели хостера

Собственно, вопрос. Что происходит? И как тогда очистить правила iptables?
  • Вопрос задан
  • 2881 просмотр
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
@inkvizitor68sl
Linux-сисадмин с 8 летним стажем.
# Установка политик по умолчанию
iptables -P INPUT DROP

А чего вы ожидали) ?

Когда вы делаете -F с такой дефолтной политикой - весь входящий трафик начинает дропаться.
Ответ написан
kresska
@kresska
Политика остается, а правила - нет. В итоге, "Всех убить, никого не щадить!"
Ответ написан
Комментировать
Lakika
@Lakika
Sicario
Ну или вот так:

iptables -P INPUT ACCEPT; iptables -F
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы