iptables drop

doctor@tardis · 11 сентября 2015, 13:06:12

Играюсь тут с iptables... Наткнулся на непонятную веСЧь.

Решил блокнуть все, кроме своего айпишника. Прописал вот так - все нормально блокирует, все работает.


*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [12:880]
-A INPUT -s мой_айпи -j ACCEPT
COMMIT

Теперь хочу дропнуть еще output. Пишу


*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -s мой_айпи -j ACCEPT
-A OUTPUT -s мой_айпи -j ACCEPT
COMMIT

И вылетаю. ssh блокируется и все. Хорошо хоть заранее поставил восстановление iptables через каждые 10 минут.

Почему так?

yura_n · 11 сентября 2015, 13:22:07


iptables -A INPUT -s 192.168.1.80 -j ACCEPT

Это правило получает пакет от -s (source), то есть, не вашего IP-адреса, а того, который на другом конце.
У вас ключ -s с ключем -d перепутан.


iptables -A OUTPUT -s 192.168.1.80 -j ACCEPT

Это правило отправляет пакеты от -s (source), то есть, от вашего IP-адреса.

endru · 11 сентября 2015, 13:26:25

и про loopback не забывай.

doctor@tardis · 11 сентября 2015, 13:29:34

yura_n, спасибо!

endru, a loopback теми же командами открывать?


-A INPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -j ACCEPT

endru · 11 сентября 2015, 13:33:34

нужно указывать интерфейс

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

doctor@tardis · 11 сентября 2015, 13:34:38

endru, спасибо)

Русскоязычное сообщество Debian GNU/Linux