IPTABLES est lent après avoir ajouté '-A INPUT -j DROP' à la list des règles
Je commence juste avec iptables et suis tombé sur quelque chose que je ne comprends pas vraiment.
Pour votre information, j'ai suivi les instructions de IptablesHowTo du wiki d'Ubuntu .
Les tables nat et mangle sont vides, je ne travaille qu'avec la table de filter.
Le problème
Si j'ajoute les règles iptables suivantes:
- iptables: Le path "script" ou le path "* filter, rules, COMMIT"?
- Façonner le trafic sortant avec iptables
- Pourquoi les packages sont-ils rejetés même s'il y a une règle qui les accepte tous avant?
- Pourquoi mon pare-feu (iptables) interfère-t-il dans mon pont (brctl)?
- Aide à la configuration d'un file journal personnalisé pour iptables
iptables -A INPUT -p tcp --dport ssh -j ACCEPT iptables -A INPUT -j DROP … alors j'ai toujours access à ma machine via ssh, mais toutes les commands iptables prennent environ une minute ou deux pour être exécutées. Ce n'est pas un problème de DNS, -n ne le change pas.
La solution
Si je chasse la table et ajoute ces trois règles, tout fonctionne bien:
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport ssh -j ACCEPT iptables -A INPUT -j DROP
Quelqu'un peut-il m'expliquer pourquoi la première règle a un tel impact sur iptables? Je comprends qu'il permet aux sessions établies de recevoir du trafic, mais pourquoi en ai-je besoin si ssh est ouvert?
- Pourquoi ne puis-je pas utiliser la règle REJECT sur ma string iptables OUTPUT?
- Pourquoi le trafic de bouclage doit-il être autorisé à l'aide d'iptables pour get un access Web?
- Transformer un package UDP monodiffusion en une émission?
- bash: iptables: command introuvable
- Comment comprendre pourquoi le package a été considéré comme invalide par le `iptables`?
Il effectue une search DNS et comme la réponse est bloquée, il faut du time pour expirer.
Essayez de faire iptables -n … pour empêcher la search DNS.
Le conntrack permet de recevoir des connections sur le port éphémère créé pour les réponses aux requêtes lancées par votre machine (dans ce cas, la requête DNS). Sans autoriser les connections ÉTABLIES ou CONNEXES, même les réponses à vos requests sont bloquées.
EG: Si vous tentez d'accéder à un site Web, même si vous pouviez envoyer la request pour le site Web, la réponse du site Web serait bloquée.
Avec
iptables -A INPUT -p tcp --dport ssh -j ACCEPT iptables -A INPUT -j DROP
votre machine supprimera chaque package entrant à less qu'il ne provienne du port SSH. C'est une bonne idée si vous voulez que cette machine communique uniquement via SSH. Sinon, vous devez append
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
cela vous assurera que vous allez vous connecter à un server Web plutôt que de vous connecter à quelqu'un.
- Tunnel yum trafic via un autre server via ssh
- Règles IPTables pour autoriser les connections SSH entrantes
- Script de conseiller de règles iptables
- transférer le port de trafic sortant en utilisant iptables
- login réseau double
- entrant ACCEPT toutes les règles iptables apparaissent toujours
- Est-ce que iptables -F supprime définitivement toutes les règles iptables?
- Pourquoi le service persistant Iptables ne sauvegarde-t-il pas mes modifications?
- Commandes de terminal équivalentes à l'option "Use as Hotspot" de NetworkManager
- Quelles sont les définitions de addrtype dans iptables?