Что означает пустой Iptables?

17

Я использую CentOS и если введите следующую iptablesкоманду:

iptables -L -v

Вывод следующий:

Chain INPUT (policy ACCEPT 19614 packets, 2312K bytes)  pkts bytes target     prot opt in     out     source               destination   

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)  pkts bytes target    prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 13881 packets, 32M bytes)  pkts bytes target     prot opt in     out     source               destination

Что это значит? Я могу подключиться, используя SSH. Где я могу увидеть это правило?

linux centos firewall iptables Memochipan
источник

Ответы:

20

Пустые iptablesправила просто означает , что вы не имеете никаких правил. Отсутствие правил означает, что таблица «policy» контролирует, что происходит с каждым пакетом, пересекающим эту таблицу. « policy ACCEPTНа каждой таблице» означает, что все пакеты разрешены через каждую таблицу. Таким образом, у вас нет активного брандмауэра.

Fran
источник
Не быть придиркой к тому, что является довольно простым постом с вопросами и ответами, но не policy ACCEPTможет считаться правилом само по себе? Да, он блокирует 100% ничего и не фильтрует трафик, но все же это правило в контексте iptablesоперативного поведения.
JakeGould
1
@JakeGould Конечно, это имеет смысл. Подоконник, iptablesиспользует два различных терминов править и политика , и я пытался придерживаться терминологии инструмента.
Fran
4

У вас нет каких - либо правил , установленных до. Посмотрите на следующий iptablesучебник о том, как добавить свои правила .

Вы можете добавить правило SSH, как это так, что позволит всем SSH через порт 22:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Павел
источник
Спасибо, может быть, мне было непонятно. Я удивительно , что , как я могу подключиться с помощью SSH , если у меня нет никакого правила еще. Что означает пустой стол? Разрешить все соединения или что?
Мемочипан
@Memochipan Обратите внимание , как список содержит политику: «Политика ACCEPT» -> это правило по умолчанию, который в данном случае является принимать весь трафик. Ваш Iptables эффективно отключен в качестве межсетевого экрана без каких - либо правил для блокировки трафика.
Дарт Андроид
2
@Memochipan Да, это старая тема, но простая аналогия в том, что у вас есть дверь с замком, но никто не запирает дверь. Так что еслиiptables он установлен, у вас есть возможность настроить правила. Но если нет правил, нет ничего, дверь не заперта, и каждый может пройти сквозь нее.
JakeGould
0

Я нашел этот вопрос, когда удивился, почему iptables-save оказался пустым. Так что, хотя это не ответ для ОП, я решил оставить это здесь :)

Оказывается, что загружен Iptables-сохранения нуждается в iptable_filter (и / или iptable_nat) модули.

root@mgmt:~# iptables-save 
root@mgmt:~# modprobe iptable_filter
root@mgmt:~# iptables-save 
# Generated by iptables-save v1.6.0 on Fri Aug  4 09:21:14 2017
*filter
:INPUT ACCEPT [7:488]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:424]
COMMIT
# Completed on Fri Aug  4 09:21:14 2017

Это важно, когда вы пытаетесь «безопасно» проверить некоторые новые правила:

iptables-save > /tmp/ipt.good; (sleep 60; iptables-restore < /tmp/ipt.good) & iptables-restore < iptables.rules.test
LBT
источник