Cosa significa un iptables vuoto?


17

Sto usando CentOS e quando digito il seguente iptablescomando:

iptables -L -v

L'output è il seguente:

Chain INPUT (policy ACCEPT 19614 packets, 2312K bytes)  pkts bytes target     prot opt in     out     source               destination   

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)  pkts bytes target    prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 13881 packets, 32M bytes)  pkts bytes target     prot opt in     out     source               destination

Cosa significa questo? Sono in grado di connettermi tramite SSH. Dove posso vedere quella regola?

Risposte:


20

Le iptablesregole vuote significano semplicemente che non hai regole. Non avere regole significa che la "politica" della tabella controlla cosa succede a ciascun pacchetto che attraversa quella tabella. Il policy ACCEPTsu ogni tabella significa che tutti i pacchetti sono consentiti attraverso ogni tabella. Pertanto, non è attivo alcun firewall.


Non essere un pignolo di ciò che è una domanda e una risposta abbastanza semplici, ma non può policy ACCEPTessere considerata una regola in sé e per sé? Sì, blocca il 100% di niente e non filtra il traffico, ma è comunque una regola nel contesto del iptablescomportamento operativo.
Jake Gould

1
@JakeGould Certo, ha senso. Davanzale, iptablesusa due termini distinti regola e politica , e stavo cercando di attenermi alla terminologia dello strumento.
Fran,

4

Non hai impostato regole. Dai un'occhiata al seguente iptablestutorial su come aggiungere le tue regole .

Puoi aggiungere la tua regola SSH in questo modo, che consentirà a tutti gli SSH attraverso la porta 22:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT     

Grazie, forse non ero chiaro. Mi sorprende che come posso connettermi usando SSH se non ho ancora alcuna regola. Cosa significa tavolo vuoto? Consenti tutte le connessioni o cosa?
Memochipan,

@Memochipan Nota come l'elenco contiene la politica: "policy ACCETTA" -> questa è la regola predefinita, che in questo caso accetta tutto il traffico. Il tuo iptables è effettivamente disabilitato come firewall senza regole per bloccare il traffico.
Darth Android,

2
@Memochipan Sì, questo è un vecchio thread, ma la semplice analogia è che hai una porta con una serratura, ma nessuno sta chiudendo la porta. Quindi, se iptablesinstallato, hai il potenziale per impostare le regole. Ma se non ci sono regole, non c'è niente, la porta non è chiusa a chiave e tutti possono attraversarla.
Jake Gould

0

Ho trovato questa domanda quando mi chiedevo perché iptables-save fosse rimasto vuoto. Quindi, sebbene non sia una risposta per l'OP, ho pensato di lasciarlo qui :)

Si scopre che iptables-save richiede il caricamento dei moduli iptable_filter (e / o iptable_nat).

root@mgmt:~# iptables-save 
root@mgmt:~# modprobe iptable_filter
root@mgmt:~# iptables-save 
# Generated by iptables-save v1.6.0 on Fri Aug  4 09:21:14 2017
*filter
:INPUT ACCEPT [7:488]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:424]
COMMIT
# Completed on Fri Aug  4 09:21:14 2017

Questo è importante quando si tenta di eseguire un test "sicuro" di alcune nuove regole:

iptables-save > /tmp/ipt.good; (sleep 60; iptables-restore < /tmp/ipt.good) & iptables-restore < iptables.rules.test
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.