Một iptables trống có nghĩa là gì?

17

Tôi đang sử dụng CentOS và khi gõ iptableslệnh sau :

iptables -L -v

Đầu ra như sau:

Chain INPUT (policy ACCEPT 19614 packets, 2312K bytes)  pkts bytes target     prot opt in     out     source               destination   

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)  pkts bytes target    prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 13881 packets, 32M bytes)  pkts bytes target     prot opt in     out     source               destination

Điều đó có nghĩa là gì? Tôi có thể kết nối bằng SSH. Tôi có thể thấy quy tắc đó ở đâu?

— Memochipan
nguồn

20

iptablesQuy tắc trống chỉ đơn giản là bạn không có quy tắc. Không có quy tắc nào có nghĩa là chính sách của bảng Viking điều khiển những gì xảy ra với mỗi gói đi qua bảng đó. Trên policy ACCEPTmỗi bảng có nghĩa là tất cả các gói được cho phép qua mỗi bảng. Vì vậy, bạn không có tường lửa hoạt động.

— Tiếng anh
nguồn

Không phải là một người chọn nit cho một câu hỏi và câu trả lời khá đơn giản, nhưng không policy ACCEPTthể được coi là một quy tắc trong chính nó? Có, nó chặn 100% không có gì và lọc không có lưu lượng truy cập, nhưng vẫn là một quy tắc trong bối cảnh iptableshoạt động.

— JakeGould

1

@JakeGould Chắc chắn, điều đó có ý nghĩa. Sill, iptablessử dụng hai quy tắc và chính sách riêng biệt và tôi đã cố gắng tuân theo thuật ngữ của công cụ.

— Fran

4

Bạn không có bất kỳ quy tắc nào được thiết lập. Hãy xem hướng dẫn sau đây iptablesvề cách thêm quy tắc của bạn .

Bạn có thể thêm quy tắc SSH của mình như vậy, điều này sẽ cho phép tất cả SSH thông qua Cổng 22:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

— Paul
nguồn

Cảm ơn, có lẽ tôi đã không rõ ràng. Tôi ngạc nhiên rằng làm thế nào tôi có thể kết nối bằng SSH nếu tôi chưa có bất kỳ quy tắc nào. Có nghĩa là bàn trống? Cho phép tất cả các kết nối hoặc những gì?

— Memochipan

@Memochipan Lưu ý cách danh sách chứa chính sách: "CHẤP NHẬN chính sách" -> đó là quy tắc mặc định, trong trường hợp này, là chấp nhận tất cả lưu lượng truy cập. Iptables của bạn bị vô hiệu hóa một cách hiệu quả như một tường lửa mà không có bất kỳ quy tắc nào để chặn lưu lượng truy cập.

— Darth Android

2

@Memochipan Có, đây là một chủ đề cũ, nhưng điều tương tự đơn giản là bạn có một cánh cửa có khóa trên đó, nhưng không ai khóa cửa. Vì vậy, nếu iptablesđược cài đặt, bạn có tiềm năng để thiết lập các quy tắc. Nhưng nếu không có quy tắc, không có gì, cửa không bị khóa và mọi người đều có thể đi qua đó.

— JakeGould

0

Tôi tìm thấy câu hỏi này khi tôi tự hỏi tại sao iptables-save lại xuất hiện trống rỗng. Vì vậy, mặc dù đó không phải là câu trả lời cho OP, tôi nghĩ tôi sẽ để nó ở đây :)

Hóa ra iptables-save cần các mô đun iptable_filter (và / hoặc iptable_nat) được tải.

root@mgmt:~# iptables-save 
root@mgmt:~# modprobe iptable_filter
root@mgmt:~# iptables-save 
# Generated by iptables-save v1.6.0 on Fri Aug  4 09:21:14 2017
*filter
:INPUT ACCEPT [7:488]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:424]
COMMIT
# Completed on Fri Aug  4 09:21:14 2017

Điều này quan trọng khi bạn thử kiểm tra 'an toàn' một số quy tắc mới:

iptables-save > /tmp/ipt.good; (sleep 60; iptables-restore < /tmp/ipt.good) & iptables-restore < iptables.rules.test

— lbt
nguồn