Por que meu roteador rejeitaria pacotes encaminhados para si mesmo?

tag-icon tag-icon networking iptables forwarding
Por que meu roteador rejeitaria pacotes encaminhados para si mesmo?

A primeira regra da cadeia FORWARD é interessante para mim. Por que esta seria uma regra necessária se a política é CAIR?

root@tomato:/tmp/home/root# iptables -L --line-numbers
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    REJECT     tcp  --  anywhere             tomato               multiport dports www,https,ssh reject-with tcp-reset
2    REJECT     tcp  --  anywhere             tomato-lan1          multiport dports www,https,ssh reject-with tcp-reset
3    DROP       all  --  anywhere             anywhere             state INVALID
4    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
5    shlimit    tcp  --  anywhere             anywhere             tcp dpt:ssh state NEW
6    ACCEPT     all  --  anywhere             anywhere
7    ACCEPT     all  --  anywhere             anywhere
8    ACCEPT     all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    REJECT     tcp  --  anywhere             tomato               multiport dports www,https,ssh reject-with tcp-reset
2    REJECT     tcp  --  anywhere             tomato-lan1          multiport dports www,https,ssh reject-with tcp-reset
3    ACCEPT     all  --  anywhere             anywhere
4    ACCEPT     all  --  anywhere             anywhere
5    DROP       all  --  anywhere             anywhere             state INVALID
6    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
7    DROP       all  --  anywhere             anywhere
8    DROP       all  --  anywhere             anywhere
9    wanin      all  --  anywhere             anywhere
10   wanout     all  --  anywhere             anywhere
11   ACCEPT     all  --  anywhere             anywhere
12   ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain shlimit (1 references)
num  target     prot opt source               destination
1               all  --  anywhere             anywhere             recent: SET name: shlimit side: source
2    DROP       all  --  anywhere             anywhere             recent: UPDATE seconds: 60 hit_count: 4 name: shlimit side: source

Chain wanin (1 references)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  anywhere             oldtimer             tcp dpt:3300

Chain wanout (1 references)
num  target     prot opt source               destination

Responder1

1) As regras são geradas automaticamente por algum programa que possui uma descrição de nível superior. Não presuma que uma regra é “necessária” só porque ela aparece ali.

2) Mesmo que uma regra não seja estritamente necessária, pode ser uma boa prática incluí-la, para declarar explicitamente que algo não é permitido.

3) Dito isto, pode ser realmente necessário incluir esta regra, nomeadamente se existirem outras regras que aceitem o pacote antes de o final da tabela ser atingido e a política DROP padrão se aplicar.

Em particular, as regras 11 e 12 na cadeia FORWARD parecem idênticas e parecem aceitar tudo (então provavelmente têm atributos que não estão listados; tente -Sem vez de -L), se for esse o caso, é o mesmo que uma política padrão de ACEITAR, então você teria que abandonar explicitamente tudo o que deseja abandonar.

informação relacionada