Boş bir iptables ne anlama geliyor?


17

CentOS kullanıyorum ve ne zaman aşağıdaki iptableskomutu yazın:

iptables -L -v

Çıktı aşağıdaki gibidir:

Chain INPUT (policy ACCEPT 19614 packets, 2312K bytes)  pkts bytes target     prot opt in     out     source               destination   

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)  pkts bytes target    prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 13881 packets, 32M bytes)  pkts bytes target     prot opt in     out     source               destination

Ne anlama geliyor? SSH kullanarak bağlanabiliyorum. Bu kuralı nerede görebilirim?

Yanıtlar:


20

Boş iptableskurallar, hiç kuralınız olmadığı anlamına gelir. Kural olmaması, “ilke” tablosunun o tablodan geçen her pakete ne olacağını kontrol ettiği anlamına gelir. policy ACCEPTHer bir tablo, aracı üzerinde bütün paketleri, her tablo izin verilir. Böylece, aktif bir güvenlik duvarınız yoktur.


Oldukça basit bir soru ve cevap yazısı için bir nit seçici olmamak, ancak policy ACCEPTkendi başına bir kural olarak kabul edilemez mi? Evet, hiçbir şeyin% 100'ünü engeller ve trafiği filtreler, ancak yine de iptablesoperasyonel davranış bağlamında bir kuraldır .
JakeGould

1
@JakeGould Elbette, bu mantıklı. Eşik, kural ve politika olmak üzereiptables iki ayrı terim kullanıyor ve aracın terminolojisine bağlı kalmaya çalışıyordum.
Fran

4

Ayarlanmış bir kuralınız yok. Kurallarınızı nasıl ekleyeceğinizle ilgili aşağıdaki iptableseğiticiye göz atın .

SSH kuralınızı şu şekilde ekleyebilirsiniz; bu, tüm SSH'nin Port 22'den geçmesine izin verir:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT     

Teşekkürler, belki net değilim. Henüz bir kuralım yoksa SSH kullanarak nasıl bağlantı kurabilirim. Boş masa ne demektir? Tüm bağlantılara izin verilsin mi?
Memochipan

@Memochipan Girişin politikayı nasıl içerdiğine dikkat edin: "politika KABUL ET" -> bu durumda tüm trafiği kabul eden varsayılan kuraldır. Iptables'ınız, trafiği engellemek için herhangi bir kural olmaksızın güvenlik duvarı olarak etkin bir şekilde devre dışı bırakılır.
Darth Android

2
@Memochipan Evet bu eski bir iş parçacığı, ama basit benzetmesi üzerinde kilitli bir kapınız var, ama kimse kapıyı kilitlemiyor. Bu nedenle iptables, yüklendiyse kural oluşturma potansiyeline sahip olursunuz . Ancak kural yoksa, hiçbir şey yoktur, kapı kilitli değildir ve herkes içinden geçebilir.
JakeGould

0

Iptables-save'in neden boş geldiğini merak ettiğimde bu soruyu buldum. Bu yüzden OP için bir cevap olmasa da, bunu burada bırakacağımı düşündüm :)

Iptables-save'in yüklenmiş iptable_filter (ve / veya iptable_nat) modüllerine ihtiyacı olduğu ortaya çıktı.

root@mgmt:~# iptables-save 
root@mgmt:~# modprobe iptable_filter
root@mgmt:~# iptables-save 
# Generated by iptables-save v1.6.0 on Fri Aug  4 09:21:14 2017
*filter
:INPUT ACCEPT [7:488]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:424]
COMMIT
# Completed on Fri Aug  4 09:21:14 2017

Bazı yeni kuralların 'güvenli' testine çalıştığınızda bu önemlidir:

iptables-save > /tmp/ipt.good; (sleep 60; iptables-restore < /tmp/ipt.good) & iptables-restore < iptables.rules.test
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.