Debian/Ubuntu - IPtables - при изменении политики входящего подключения не работают исходящие

NickM · Конфигурация компьютера

А что делаете с этими состояниями ESTABLISHED, RELATED?
Тоже дропаете?

__sa__nya · Конфигурация компьютера

Цитата NickM:

А что делаете с этими состояниями ESTABLISHED, RELATED?
Тоже дропаете? »

Эти состояния вообще не менял.
Т.е., что у меня происходит.
Очистил все настройки iptables. После перезагрузки вывод Iptables --line-number -L -v -n такой:

Цитата:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destina tion

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destina tion

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destina tion

Т.е. в цепочках пусто, все исходящие и входящие работают.
Хочу чтобы по умолчанию входящие были закрыты, меняю для Input ACCEPT на DROP:
iptables -P INPUT DROP
После этого исходящие отваливаются.
При этом, что интересно когда я в цепочку INPUT добавляю разрешающе правило на ping - комп начинает пинговаться, НО даже если я в цепочку OUTPUT прописываю исходящее правило, на ping - комп по прежнему никого пинговать не может.

NickM · Конфигурация компьютера

Попробуйте так, в INPUT:

Код:

-P ACCEPT
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT
-j DROP

__sa__nya · Конфигурация компьютера

NickM, был занят сильно другими заданиями. Возвращаюсь к теме. Так если поменять политику на ACCEPT по умолчанию - значит все входящие будут допускаться ? - 1-я строчка в вашем коде.

NickM · Конфигурация компьютера

Цитата __sa__nya:

Так если поменять политику на ACCEPT по умолчанию - значит все входящие будут допускаться ? - 1-я строчка в вашем коде. »

Цитата NickM:

-P ACCEPT »

Нет, не совсем так.
Первая строка разрешает передачу цели по цепочке, где применяются правила.
Если соответствий правилам не было, последняя строка отбрасывает все цели.

__sa__nya · Конфигурация компьютера

Цитата NickM:

Первая строка разрешает передачу цели по цепочке, где применяются правила. »

Разве первая строчка не меняет политику цепочки INPUT на ACCEPT по умолчанию ?

NickM · Конфигурация компьютера

Цитата __sa__nya:

Разве первая строчка не меняет политику цепочки INPUT на ACCEPT по умолчанию ? »

Вы можете проверить это у Себя на файрволле.

__sa__nya · Конфигурация компьютера

NickM, сделал. Команды:
iptables -P INPUT ACCEPT
iptables -A INPUT -f -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j DROP
Сейчас ситуация, что точно пускает ping, хотя явного разрешающего правила нет. Почему так ?

NickM · Конфигурация компьютера

Цитата __sa__nya:

iptables -P INPUT ACCEPT »

Код:

iptables -A INPUT -P ACCEPT