dakke
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
сам нашел ответ через пару минут в гугле, так что вопрос неактуален. Как удалить тему не знаю, так что оставлю в анналах, вдруг кому пригодится.
А ответ: https://serverfault.com/questions/831157/unusual-firewall-rules
т.е. это установленный мной sovtether-vpn-server (причем именно в режиме NAT, в другом режиме этого не происходит) вписываес там эти правила (пока не понял,что они означают, но разберусь)
Арендовал пару VPS, установил Debian12 без GUI, для экспериментов.
На одной машине произошло странное:
т.к. в Debian12 нет iptables по умолчанию (вместо него nftables), то установил
apt update
apt install iptables
посмотрел правила - везде политика ACCEPT
Поставил политику DROP, еще пару правил ACCEPT для SSH и Ping, потом перезагрузил (ясень пень, что после перезагрузи политика DROP осталась, а ACCEPT для SSH и Ping умер, поэтому пришлось зайти в веб-интерфейсе провайдера и поставить политику ACCEPT:
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
перезагрузил
И ВОТ столкнулся с чем-то непонятным: смотрю правила:
iptables -L -v --line-numbers
и вижу какие-то непонятно откуда взявшмиеся два правила в цепочке OUTPUT :
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 2734 packets, 273K bytes)
num pkts bytes target prot opt in out source destination
1 1879 276K DROP icmp -- any any !127.87.226.38 !127.67.250.9 icmp port-unreachable connmark match ! 0x7d8d5251
2 10022 401K DROP tcp -- any any !127.220.46.190 !127.147.21.96 tcp spts:61001:65535 flags:RST/RST connmark match ! 0x4744bda8
Делаю iptables -F , перезагружаю сервер - эти два правила все равно остаются.
Удаляю их вручную (iptables -D OUTPUT 2 iptables -D OUTPUT 1) , делаю просмотр таблиц - пару секунд правила чистые (т.е. нет правил), а через секнуд 20 делаю просмотр и снова вижу ту же картину
root@613315:~# iptables -L -v --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 DROP icmp -- any any !127.87.226.38 !127.67.250.9 icmp port-unreachable connmark match ! 0x7d8d5251
2 0 0 DROP tcp -- any any !127.220.46.190 !127.147.21.96 tcp spts:61001:65535 flags:RST/RST connmark match ! 0x4744bda8
Вопрос - откуда появляются эти правила (1 и 2 в цепочке OUTPUT) (на других машинах ничего подобного нет)? что они значат? как от них избавится (потому что мне непонятно вообще, что происходит)
(остальные таблицы nat mangle raw - чистые, политика ACCEPT )
|
Всего записей: 164 | Зарегистр. 04-05-2014 | Отправлено: 10:53 01-01-2025 | Исправлено: dakke, 11:20 01-01-2025 |
|
