4 / 4 / 1
Регистрация: 09.02.2016
Сообщений: 240
1

Iptables - как это работает

01.10.2024, 22:00. Показов 162. Ответов 5
Метки нет (Все метки)

Author24 — интернет-сервис помощи студентам
Добрый вечер!
Последнюю неделю разбирался с настройкой VPN и плавно ушел в дебри Ubuntu, а именно в настройку фаервола.
Для чистоты экспериментов накатил чистую ubuntu на виртуальную машину. Команда ifconfig -a выдает:
Код
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.226.130  netmask 255.255.255.0  broadcast 192.168.226.255
        inet6 fe80::f529:72c3:74e:cf3d  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:ef:df:98  txqueuelen 1000  (Ethernet)
        RX packets 5303  bytes 3305340 (3.3 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1859  bytes 187968 (187.9 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 476  bytes 48659 (48.6 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 476  bytes 48659 (48.6 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
По умолчанию все правила в
Код
iptables -L
имеют глобальные значения ACCEPT. Дополнительных правил нет. При этом команда ping успешно пингует вообще любой адрес который я в нее впишу.

Затем установил iptables -P INPUT DROP, при этом пропала возможность пинговать даже 127.0.0.1 и адрес сетевого интерфейса. Может быть логично, так как мы запретили вообще все входящие пакеты. Разрешаю ответы на запросы:
Код
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Но пинга по прежнему нет.
Единственное, что пингуется это 192.168.226.2, подсмотренный в ip route:
Код
default via 192.168.226.2 dev ens33 proto dhcp metric 100 
169.254.0.0/16 dev ens33 scope link metric 1000 
192.168.226.0/24 dev ens33 proto kernel scope link src 192.168.226.130 metric 100
Отсюда вопросы:
1) Почему до установки INPUTS в DROP пинговались вообще все адреса, которые приходили мне в голову?
2) Почему после разрешения RELATED,ESTABLISHED в INPUTS не пинговались адреса 127.0.0.1 и адрес сетевого интерфейса?
3) Что это вообще за 192.168.226.2, единственный адрес, который пингуется?
4) Как исправить ситуацию из п.2?

Всем спасибо за участие!
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
01.10.2024, 22:00
Ответы с готовыми решениями:

Облако: как это работает?
Привет. Есть у кого какая информация &quot;как с нуля создать свое облако&quot;.? хочу создать интересную...

Dante не работает без iptables -P FORWARD ACCEPT
Dante не работает без iptables -P FORWARD ACCEPT Как это вылечить ?

Шлюз. iptables/nftables не работает nat, что делать?
Цель - сделать шлюз) По большому счёту не так важен дистрибутив, но раз уж драйвер на USB сетевую...

Шейпер создаёт много правил в iptables как это сократить?
У меня такая проблема, есть скрипт шейпера который граничил 300чел. теперь людей стало около 1000 и...

Не могу понять, что это за реализация ORM и как это работает
Есть проект на C#, есть база данных MSSQL, есть код, который позволяет мне добавлять и удалять...

5
57 / 43 / 14
Регистрация: 12.12.2020
Сообщений: 439
01.10.2024, 22:17 2
Цитата Сообщение от a13428711 Посмотреть сообщение
Почему до установки INPUTS в DROP пинговались вообще все адреса, которые приходили мне в голову?
ну наверно не любой, а все же существующий. Пинговалось потому что все было разрешено.
Цитата Сообщение от a13428711 Посмотреть сообщение
Почему после разрешения RELATED,ESTABLISHED в INPUTS не пинговались адреса 127.0.0.1 и адрес сетевого интерфейса?
это команда разрешает входящие пакеты по уже установленным соединениям (ftp, tcp). Пинг он как бы не устанавливает соединение. Он шлет запрос, а ему в ответ приходит ответ.
Цитата Сообщение от a13428711 Посмотреть сообщение
Что это вообще за 192.168.226.2, единственный адрес, который пингуется?
тут не готов сказать. Это шлюз по умолчанию.
Цитата Сообщение от a13428711 Посмотреть сообщение
Как исправить ситуацию из п.2?
разрешите пинг и все будет
1
4 / 4 / 1
Регистрация: 09.02.2016
Сообщений: 240
01.10.2024, 22:28  [ТС] 3
Цитата Сообщение от Alex1126 Посмотреть сообщение
ну наверно не любой, а все же существующий
Я штук пять просто из головы вытянул из разных диапазонов и все пропинговались...

Цитата Сообщение от Alex1126 Посмотреть сообщение
разрешите пинг и все будет
Не подскажете как? Смотрел по видео обучалке, тап парень в онлайне рассказывал и показывал, что после глобального INPUT DROP падает даже пинг, но после RELATED,ESTABLISHED у него все заработало снова. Я и был уверен, что на пинг тоже распространяется)

Добавлено через 5 минут
Код
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
Спасибо за наводку. Добавил и пинг завелся и для localhost и для 192.168.226.130

Пойду дальше ковырять)
0
57 / 43 / 14
Регистрация: 12.12.2020
Сообщений: 439
01.10.2024, 22:28 4
Код
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
разрешаем входящие запросы на пинг (то есть нас пингуют)

Код
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
разрешаем исходящие ответы на пинг (то есть мы ответим на запрос пинга)
1
4 / 4 / 1
Регистрация: 09.02.2016
Сообщений: 240
01.10.2024, 22:30  [ТС] 5
Цитата Сообщение от Alex1126 Посмотреть сообщение
разрешаем исходящие ответы на пинг
Не знал что нужно отдельно на запрос и ответ давать разрешения. Спасибо)
0
57 / 43 / 14
Регистрация: 12.12.2020
Сообщений: 439
01.10.2024, 22:31 6
обычно просто пинги разрешают без указания подробностей.
0
01.10.2024, 22:31
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
01.10.2024, 22:31
Помогаю со студенческими работами здесь

Как это работает? Я хочу спросить как работает C++ и где можно про него почитать
Привет, котоны. Заранее благодарю. Это будет моих общих вопросов нить, т.к. создавать целую ветку...

Что это и как это работает
Для чего указываются эти параметры в этих тегах? И как они работают? За подробное описание...

Что это за фишка языка? s+=i[a]; почему это вообще работает? Где про это прочитать?
#include &lt;iostream&gt; using namespace std; int main() { int a={1,2,3,4,5}; int s=0; ...

Русификация.Работает-супер! Обьяснитте, как это работает?
#include &lt;iostream&gt; #include &lt;conio.h&gt; #include &lt;windows.h&gt; using namespace std; char*...

Как это создать, и как это работает?
Здравствуйте. У меня возник вопрос, по которому ответа я не нашёл, и решил спросить здесь. Может...

Как это работает?
Я в основном работаю с фронтом, но сейчас мне нужно сделать не большой проектик под ключ, в котором...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
6
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2024, CyberForum.ru