supposons que vous avez une règle iptables comme suit: source A ------ & gt; source B accepter source B ------ & gt; source Une goutte.
j'observe que: - un premier paquet TCP de A à B est accepté - le paquet de réponse de B est supprimé.
pourquoi le paquet de réponse est-il abandonné? depuis le premier paquet de A - & gt; B a été autorisé et accepté, il aurait dû être ajouté à la table des connexions. lorsque le paquet de B - & gt; A entre, une recherche doit avoir été effectuée avant d’exécuter rulematch et d’accepter sans exécuter la base de règles qui décide de supprimer. pourquoi iptables n'effectue-t-il pas une recherche?
Merci.
Réponses:
Oui je l'ai ajouté et pas de changement. J'observe cela comme un comportement général et quand je regarde à travers Le code source d'Iptables est le comportement attendu. Je me demande comment iptables peut être utilisé, car c'est totalement ridicule d'ajouter une règle inverse. Il est impossible de gérer une telle base de règles. J'espère que nous pourrons clarifier cela. Merci.
la source
iptables est de très bas niveau et lorsque vous écrivez des règles iptables, vous traitez avec des paquets IP bruts. Cela a un certain nombre d’implications, dont vous avez découvert une.
Il existe des cas d'utilisation parfaitement valables pour les cas où le trafic sortant devrait être autorisé, mais aucun trafic entrant correspondant ne devrait être autorisé à passer à travers le pare-feu; ou l’inverse, le trafic entrant est autorisé mais le trafic sortant non autorisé. Les serveurs de stockage de journaux (qui à leur tour sont souvent utiles pour l'audit) constituent un exemple courant: le trafic de journaux doit être autorisé. dans , mais aucun ne devrait être autorisé en dehors . Dans les cas extrêmes, le trafic de journalisation doit être autorisé dans , mais rien d'autre devrait être permis soit dedans ou dehors .
Si iptables ne fait aucune hypothèse sur ce que vous voulez, vous augmentez non seulement la sécurité, mais également les performances, car le jeu de règles peut être optimisé pour ce que vous voulez que le pare-feu fasse réellement.
Si vous souhaitez autoriser le trafic entrant lié à une connexion ou une session déjà établie, indiquez-le-lui simplement:
ou pour IPv6:
Ajuste le
-I INPUT 1
séparez-les au besoin (par exemple, si vous avez d'autres règles devant prévaloir sur la règle générale qui autorise le trafic relatif à une connexion ou une session établie).la source