Почему мой маршрутизатор отклоняет пересылаемые ему пакеты?

tag-icon tag-icon networking iptables forwarding
Почему мой маршрутизатор отклоняет пересылаемые ему пакеты?

Первое правило в цепочке FORWARD мне интересно. Зачем это нужное правило, если политика DROP?

root@tomato:/tmp/home/root# iptables -L --line-numbers
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    REJECT     tcp  --  anywhere             tomato               multiport dports www,https,ssh reject-with tcp-reset
2    REJECT     tcp  --  anywhere             tomato-lan1          multiport dports www,https,ssh reject-with tcp-reset
3    DROP       all  --  anywhere             anywhere             state INVALID
4    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
5    shlimit    tcp  --  anywhere             anywhere             tcp dpt:ssh state NEW
6    ACCEPT     all  --  anywhere             anywhere
7    ACCEPT     all  --  anywhere             anywhere
8    ACCEPT     all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    REJECT     tcp  --  anywhere             tomato               multiport dports www,https,ssh reject-with tcp-reset
2    REJECT     tcp  --  anywhere             tomato-lan1          multiport dports www,https,ssh reject-with tcp-reset
3    ACCEPT     all  --  anywhere             anywhere
4    ACCEPT     all  --  anywhere             anywhere
5    DROP       all  --  anywhere             anywhere             state INVALID
6    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
7    DROP       all  --  anywhere             anywhere
8    DROP       all  --  anywhere             anywhere
9    wanin      all  --  anywhere             anywhere
10   wanout     all  --  anywhere             anywhere
11   ACCEPT     all  --  anywhere             anywhere
12   ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain shlimit (1 references)
num  target     prot opt source               destination
1               all  --  anywhere             anywhere             recent: SET name: shlimit side: source
2    DROP       all  --  anywhere             anywhere             recent: UPDATE seconds: 60 hit_count: 4 name: shlimit side: source

Chain wanin (1 references)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  anywhere             oldtimer             tcp dpt:3300

Chain wanout (1 references)
num  target     prot opt source               destination

решение1

1) Правила автоматически генерируются некоторой программой, которая берет описание более высокого уровня. Не делайте предположения, что правило "необходимо" только потому, что оно там появляется.

2) Даже если правило не является строго необходимым, его включение может быть хорошей практикой, чтобы явно указать, что что-то не разрешено.

3) Тем не менее, включение этого правила может быть действительно необходимым, а именно, если существуют другие правила, которые примут пакет до того, как будет достигнут конец таблицы и будет применена политика DROP по умолчанию.

В частности, правила 11 и 12 в цепочке FORWARD выглядят одинаково и, по-видимому, принимают все (поэтому у них, вероятно, есть атрибуты, которые не перечислены; попробуйте -Sвместо -L), если это действительно так, то это то же самое, что и политика по умолчанию ACCEPT, поэтому вам придется явно отбросить все, что вы хотите отбросить.

Связанный контент