Дополнительные цепочки и правила iptables.

[OmegaTron]

Собственно сабж. Таблица iptables на моём Omni II забита кучей нестандартных правил и цепей. Есть информация описывающая их (преимущественно интересует цепочки) и то для чего они предназначены ?

[Le ecureuil]

21 час назад, OmegaTron сказал:

Собственно сабж. Таблица iptables на моём Omni II забита кучей нестандартных правил и цепей. Есть информация описывающая их (преимущественно интересует цепочки) и то для чего они предназначены ?

Лучше спрашивайте конкретно. На каждой версии структура netfilter немного меняется, потому описать один раз и навсегда не выйдет.

[OmegaTron]

В 23.11.2018 в 00:21, Le ecureuil сказал:

Лучше спрашивайте конкретно. На каждой версии структура netfilter немного меняется, потому описать один раз и навсегда не выйдет.

Ну например, все цепочки с префиксом _NDM

_NDM_ACL_IN
_NDM_ACL_IN_EXCEPTIONS
_NDM_ACL_OUT
_NDM_BFD_INPUT
_NDM_FORWARD
_NDM_FTP_INPUT
_NDM_HOTSPOT_FWD
_NDM_HTTP_INPUT
_NDM_INPUT
_NDM_IPSEC_FORWARD
_NDM_IPSEC_INPUT
_NDM_IPSEC_INPUT_FILTER
_NDM_IPSEC_INPUT_FLT_BPS
_NDM_IPSEC_OUTPUT_FILTER
_NDM_IPSEC_OUTPUT_FLT_BPS
_NDM_MULTICAST_INPUT
_NDM_OUTPUT
_NDM_SL_FORWARD
_NDM_SL_PRIVATE
_NDM_SL_PROTECT
_NDM_TELNET_INPUT
_NDM_TUNNELS_INPUT

и до кучи цепочка

@Home

которая выбивается из общего "потока"

С цепочками FTP/HTTP/TELNET более-менее понятно - там стоят правила заворачивающие траффик на указанные через веб-фейс или CLI порты (хотя я конечно могу ошибаться), а вот по остальным хотелось бы конкретики

 

Edited December 4, 2018 by OmegaTron

[Le ecureuil]

В 04.12.2018 в 11:56, OmegaTron сказал:

Ну например, все цепочки с префиксом _NDM

_NDM_ACL_IN
_NDM_ACL_IN_EXCEPTIONS
_NDM_ACL_OUT
_NDM_BFD_INPUT
_NDM_FORWARD
_NDM_FTP_INPUT
_NDM_HOTSPOT_FWD
_NDM_HTTP_INPUT
_NDM_INPUT
_NDM_IPSEC_FORWARD
_NDM_IPSEC_INPUT
_NDM_IPSEC_INPUT_FILTER
_NDM_IPSEC_INPUT_FLT_BPS
_NDM_IPSEC_OUTPUT_FILTER
_NDM_IPSEC_OUTPUT_FLT_BPS
_NDM_MULTICAST_INPUT
_NDM_OUTPUT
_NDM_SL_FORWARD
_NDM_SL_PRIVATE
_NDM_SL_PROTECT
_NDM_TELNET_INPUT
_NDM_TUNNELS_INPUT

и до кучи цепочка

@Home

которая выбивается из общего "потока"

С цепочками FTP/HTTP/TELNET более-менее понятно - там стоят правила заворачивающие траффик на указанные через веб-фейс или CLI порты (хотя я конечно могу ошибаться), а вот по остальным хотелось бы конкретики

 

Зачем вам эта конкретика? Есть какие-то проблемы?

[OmegaTron]

1 час назад, Le ecureuil сказал:

Зачем вам эта конкретика? Есть какие-то проблемы?

Проблем нет. Просто хотелось разобраться с этим частоколом дополнительных цепочек правил, что к чему и зачем. Что можно трогать, что не стоит. Разве данный вопрос ещё не поднимался ?

[Le ecureuil]

18 часов назад, OmegaTron сказал:

Проблем нет. Просто хотелось разобраться с этим частоколом дополнительных цепочек правил, что к чему и зачем. Что можно трогать, что не стоит. Разве данный вопрос ещё не поднимался ?

Трогать никакие не стоит. Они все важны для работы той или иной функциональности.

Если есть вопросы куда добавлять ваши собственные правила - спрашивайте с описанием ситуации, подскажу.

[OmegaTron]

В 06.12.2018 в 22:48, Le ecureuil сказал:

Трогать никакие не стоит. Они все важны для работы той или иной функциональности.

Ей богу, прямо тайны Мадридского двора ))) Меня эта самая функциональность и ответственные за неё цепочки и интересуют, по причине чего собственно и была заведена тема. Одно дело видеть в выхлопе листинга iptables цепочки INPUT/FORWARD/OUTPUT (либо иные стандартные) и другое - частокол неясных субцепей.

Пользуясь случаем спрошу - что там за "механизм" такой наяривает, что таблица переписывается заново чуть ли не каждые 10-20 секунд ? Даже протестировать вменяемо правило невозможно - сбрасывается. А писать каждое правило в скрипт в /opt/etc/ndm/netfilter.d/ ради его банальной проверки сильно напрягает.

[OmegaTron]

В саппорте дали сводку по цепочкам iptables

_NDM_ACL_IN  правила на forward через кинетик
_NDM_ACL_IN_EXCEPTIONS цепочка для облачного сервиса
_NDM_ACL_OUTправила на forward через кинетик  
_NDM_BFD_INPUT  от перебора telnet,ftp,http
_NDM_FORWARD  собственно проходящий трафик
_NDM_FTP_INPUT  от перебора telnet,ftp,http связанные цепочки
_NDM_HOTSPOT_FWD хотспот который регулирует доступ в интернет пользователям локальной сети
_NDM_HTTP_INPUT от перебора telnet,ftp,http связанные цепочки
_NDM_INPUT трафик предназначенный самому роутеру
_NDM_IPSEC_FORWARD  
_NDM_IPSEC_INPUT 
_NDM_IPSEC_INPUT_FILTER 
_NDM_IPSEC_INPUT_FLT_BPS 
_NDM_IPSEC_OUTPUT_FILTER 
_NDM_IPSEC_OUTPUT_FLT_BPS 

Все выделенные касаются прохождению трафика IPsec чере роутер. 
первая понятно это проходящий
вторая понятна это самому роутеру
третья для подключения ipsec udp500/4500
_NDM_MULTICAST_INPUT для получения мультикаста
_NDM_OUTPUT от самого хоста
_NDM_SL_FORWARD 
_NDM_SL_PRIVATE 
_NDM_SL_PROTECT 

Выделенные:Данная конструкция обеспечивает реализацию разделения интерфейсов по уровню безопасности
_NDM_TELNET_INPUT от перебора telnet,ftp,http связанные цепочки
_NDM_TUNNELS_INPUT для GRE/IPIP туннелей

Edited December 22, 2018 by OmegaTron