Дополнительные цепочки и правила iptables.

OmegaTron · November 21, 2018

Собственно сабж. Таблица iptables на моём Omni II забита кучей нестандартных правил и цепей. Есть информация описывающая их (преимущественно интересует цепочки) и то для чего они предназначены ?

Le ecureuil · November 22, 2018

21 час назад, OmegaTron сказал:

Собственно сабж. Таблица iptables на моём Omni II забита кучей нестандартных правил и цепей. Есть информация описывающая их (преимущественно интересует цепочки) и то для чего они предназначены ?

Лучше спрашивайте конкретно. На каждой версии структура netfilter немного меняется, потому описать один раз и навсегда не выйдет.

OmegaTron · December 4, 2018

В 23.11.2018 в 00:21, Le ecureuil сказал:

Лучше спрашивайте конкретно. На каждой версии структура netfilter немного меняется, потому описать один раз и навсегда не выйдет.

Ну например, все цепочки с префиксом _NDM

_NDM_ACL_IN
_NDM_ACL_IN_EXCEPTIONS
_NDM_ACL_OUT
_NDM_BFD_INPUT
_NDM_FORWARD
_NDM_FTP_INPUT
_NDM_HOTSPOT_FWD
_NDM_HTTP_INPUT
_NDM_INPUT
_NDM_IPSEC_FORWARD
_NDM_IPSEC_INPUT
_NDM_IPSEC_INPUT_FILTER
_NDM_IPSEC_INPUT_FLT_BPS
_NDM_IPSEC_OUTPUT_FILTER
_NDM_IPSEC_OUTPUT_FLT_BPS
_NDM_MULTICAST_INPUT
_NDM_OUTPUT
_NDM_SL_FORWARD
_NDM_SL_PRIVATE
_NDM_SL_PROTECT
_NDM_TELNET_INPUT
_NDM_TUNNELS_INPUT

и до кучи цепочка

@Home

которая выбивается из общего "потока"

С цепочками FTP/HTTP/TELNET более-менее понятно - там стоят правила заворачивающие траффик на указанные через веб-фейс или CLI порты (хотя я конечно могу ошибаться), а вот по остальным хотелось бы конкретики

Edited December 4, 2018 by OmegaTron

Le ecureuil · December 5, 2018

В 04.12.2018 в 11:56, OmegaTron сказал:
Ну например, все цепочки с префиксом _NDM
_NDM_ACL_IN
_NDM_ACL_IN_EXCEPTIONS
_NDM_ACL_OUT
_NDM_BFD_INPUT
_NDM_FORWARD
_NDM_FTP_INPUT
_NDM_HOTSPOT_FWD
_NDM_HTTP_INPUT
_NDM_INPUT
_NDM_IPSEC_FORWARD
_NDM_IPSEC_INPUT
_NDM_IPSEC_INPUT_FILTER
_NDM_IPSEC_INPUT_FLT_BPS
_NDM_IPSEC_OUTPUT_FILTER
_NDM_IPSEC_OUTPUT_FLT_BPS
_NDM_MULTICAST_INPUT
_NDM_OUTPUT
_NDM_SL_FORWARD
_NDM_SL_PRIVATE
_NDM_SL_PROTECT
_NDM_TELNET_INPUT
_NDM_TUNNELS_INPUT
и до кучи цепочка
@Home
которая выбивается из общего "потока"

С цепочками FTP/HTTP/TELNET более-менее понятно - там стоят правила заворачивающие траффик на указанные через веб-фейс или CLI порты (хотя я конечно могу ошибаться), а вот по остальным хотелось бы конкретики

Зачем вам эта конкретика? Есть какие-то проблемы?

OmegaTron · December 5, 2018

1 час назад, Le ecureuil сказал:

Зачем вам эта конкретика? Есть какие-то проблемы?

Проблем нет. Просто хотелось разобраться с этим частоколом дополнительных цепочек правил, что к чему и зачем. Что можно трогать, что не стоит. Разве данный вопрос ещё не поднимался ?

Le ecureuil · December 6, 2018

18 часов назад, OmegaTron сказал:

Проблем нет. Просто хотелось разобраться с этим частоколом дополнительных цепочек правил, что к чему и зачем. Что можно трогать, что не стоит. Разве данный вопрос ещё не поднимался ?

Трогать никакие не стоит. Они все важны для работы той или иной функциональности.

Если есть вопросы куда добавлять ваши собственные правила - спрашивайте с описанием ситуации, подскажу.

OmegaTron · December 12, 2018

В 06.12.2018 в 22:48, Le ecureuil сказал:

Трогать никакие не стоит. Они все важны для работы той или иной функциональности.

Ей богу, прямо тайны Мадридского двора ))) Меня эта самая функциональность и ответственные за неё цепочки и интересуют, по причине чего собственно и была заведена тема. Одно дело видеть в выхлопе листинга iptables цепочки INPUT/FORWARD/OUTPUT (либо иные стандартные) и другое - частокол неясных субцепей.

Пользуясь случаем спрошу - что там за "механизм" такой наяривает, что таблица переписывается заново чуть ли не каждые 10-20 секунд ? Даже протестировать вменяемо правило невозможно - сбрасывается. А писать каждое правило в скрипт в /opt/etc/ndm/netfilter.d/ ради его банальной проверки сильно напрягает.

OmegaTron · December 22, 2018

В саппорте дали сводку по цепочкам iptables

_NDM_ACL_IN правила на forward через кинетик
_NDM_ACL_IN_EXCEPTIONS цепочка для облачного сервиса
_NDM_ACL_OUTправила на forward через кинетик
_NDM_BFD_INPUT от перебора telnet,ftp,http
_NDM_FORWARD собственно проходящий трафик
_NDM_FTP_INPUT от перебора telnet,ftp,http связанные цепочки
_NDM_HOTSPOT_FWD хотспот который регулирует доступ в интернет пользователям локальной сети
_NDM_HTTP_INPUT от перебора telnet,ftp,http связанные цепочки
_NDM_INPUT трафик предназначенный самому роутеру
_NDM_IPSEC_FORWARD
_NDM_IPSEC_INPUT
_NDM_IPSEC_INPUT_FILTER
_NDM_IPSEC_INPUT_FLT_BPS
_NDM_IPSEC_OUTPUT_FILTER
_NDM_IPSEC_OUTPUT_FLT_BPS

Все выделенные касаются прохождению трафика IPsec чере роутер.
первая понятно это проходящий
вторая понятна это самому роутеру
третья для подключения ipsec udp500/4500
_NDM_MULTICAST_INPUT для получения мультикаста
_NDM_OUTPUT от самого хоста
_NDM_SL_FORWARD
_NDM_SL_PRIVATE
_NDM_SL_PROTECT

Выделенные:Данная конструкция обеспечивает реализацию разделения интерфейсов по уровню безопасности
_NDM_TELNET_INPUT от перебора telnet,ftp,http связанные цепочки
_NDM_TUNNELS_INPUT для GRE/IPIP туннелей

Edited December 22, 2018 by OmegaTron

Sign In

Дополнительные цепочки и правила iptables.

Question

OmegaTron

7 answers to this question

Recommended Posts

Le ecureuil

OmegaTron

Le ecureuil

OmegaTron

Le ecureuil

OmegaTron

OmegaTron

Join the conversation

Recently Browsing 0 members

Browse

Activity

Store

My Details

Important Information