IPTABLES работает медленно после добавления -A INPUT -j DROP в список правил

Я только начинаю с iptables и наткнулся на то, чего я не очень понимаю.

К вашему сведению, я следовал инструкциям IptablesHowTo вики-сайта Ubuntu .

Таблицы nat и mangle пусты, сейчас я работаю только с таблицей фильтров.

Проблема

Если я добавлю следующие правила iptables:

iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -j DROP

... тогда у меня все еще есть доступ к моей машине через ssh, однако для выполнения всех команд iptables требуется около минуты или двух. Это не проблема DNS, -nне меняет ее.

Решение

Если я очищу таблицу и добавлю эти три правила, все будет работать нормально:

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -j DROP

Может кто-нибудь объяснить мне, почему первое правило оказывает такое большое влияние на iptables? Я понимаю, что он позволяет установленным сеансам получать трафик, но зачем он мне, если открыт ssh?

iptables mohrphium
источник

В некоторых случаях sudoвыполняет поиск DNS и, если они заблокированы, команда будет медленной. Все ли другие ваши iptablesкоманды имеют префикс sudo?

Ладададада

Запустите sudo strace …(из корневой оболочки), чтобы увидеть, что он блокирует.

Жиль "ТАК - перестань быть злым"

Ответы:

Он выполняет поиск DNS, и поскольку ответ заблокирован, время ожидания истекает.

Попробуйте выполнить iptables -n ..., чтобы предотвратить поиск DNS.

Conntrack позволяет получать соединения по временному порту, который был создан для ответов на запросы, инициированные вашей машиной (в данном случае DNS-запрос). Без разрешения УСТАНОВЛЕННЫЕ или СВЯЗАННЫЕ соединения даже ответы на ваши запросы блокируются.

Например, если вы попытаетесь перейти на веб-сайт, даже если вы сможете отправить запрос на веб-сайт, ответ веб-сайта будет заблокирован.

user2371745
источник

iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -j DROP

Ваша машина будет отбрасывать каждый входящий пакет, если он не приходит через порт SSH. Это хорошая идея, если вы хотите, чтобы эта машина соединялась только через SSH. В противном случае вам нужно добавить

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

это даст вам уверенность, что вы собираетесь подключаться к какому-либо веб-серверу, а не к кому-то еще.

edmz
источник

Хотя в целом это хороший совет, он не отвечает на вопрос, который на самом деле задавался.

Шадур

@Shadur Conntrack имеет значение. Это против отбросить все.

Нильс

Если вы отправляете общий запрос на веб-сервер через машину, как в этом случае, этот последний ничего не покажет, поскольку брандмауэр не позволяет отправлять пакеты на машину с установленным соединением.

edmz

Но даже если бы я разрешил ssh использовать только первые две команды, почему команды iptables занимают намного больше времени, чем с правилом conntrack ... И означает ли правило conntrack, что я могу подключиться к веб-серверу? Разве это не сделает правило отбрасывания бесполезным?

Морфий

Нет, не будет. С этим у -m conntrackвас может быть еще один «шанс», что пакеты будут приняты до того, как они будут точно отброшены. На клиентском компьютере он должен быть, iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT если вы хотите получить ответ. На стороне сервера просто разрешите входящее соединение SSH и отбросьте все остальное (если сервер действует только как SSH). Надеюсь, все ясно.

edmz