Jump to content
  • 0

Дополнительные цепочки и правила iptables.


OmegaTron
 Share

Question

Собственно сабж. Таблица iptables на моём Omni II забита кучей нестандартных правил и цепей. Есть информация описывающая их (преимущественно интересует цепочки) и то для чего они предназначены ?

Link to comment
Share on other sites

7 answers to this question

Recommended Posts

  • 0
21 час назад, OmegaTron сказал:

Собственно сабж. Таблица iptables на моём Omni II забита кучей нестандартных правил и цепей. Есть информация описывающая их (преимущественно интересует цепочки) и то для чего они предназначены ?

Лучше спрашивайте конкретно. На каждой версии структура netfilter немного меняется, потому описать один раз и навсегда не выйдет.

Link to comment
Share on other sites

  • 0
В 23.11.2018 в 00:21, Le ecureuil сказал:

Лучше спрашивайте конкретно. На каждой версии структура netfilter немного меняется, потому описать один раз и навсегда не выйдет.

Ну например, все цепочки с префиксом _NDM

_NDM_ACL_IN
_NDM_ACL_IN_EXCEPTIONS
_NDM_ACL_OUT
_NDM_BFD_INPUT
_NDM_FORWARD
_NDM_FTP_INPUT
_NDM_HOTSPOT_FWD
_NDM_HTTP_INPUT
_NDM_INPUT
_NDM_IPSEC_FORWARD
_NDM_IPSEC_INPUT
_NDM_IPSEC_INPUT_FILTER
_NDM_IPSEC_INPUT_FLT_BPS
_NDM_IPSEC_OUTPUT_FILTER
_NDM_IPSEC_OUTPUT_FLT_BPS
_NDM_MULTICAST_INPUT
_NDM_OUTPUT
_NDM_SL_FORWARD
_NDM_SL_PRIVATE
_NDM_SL_PROTECT
_NDM_TELNET_INPUT
_NDM_TUNNELS_INPUT

и до кучи цепочка

@Home

которая выбивается из общего "потока"

С цепочками FTP/HTTP/TELNET более-менее понятно - там стоят правила заворачивающие траффик на указанные через веб-фейс или CLI порты (хотя я конечно могу ошибаться), а вот по остальным хотелось бы конкретики :)

 

Edited by OmegaTron
Link to comment
Share on other sites

  • 0
В 04.12.2018 в 11:56, OmegaTron сказал:

Ну например, все цепочки с префиксом _NDM


_NDM_ACL_IN
_NDM_ACL_IN_EXCEPTIONS
_NDM_ACL_OUT
_NDM_BFD_INPUT
_NDM_FORWARD
_NDM_FTP_INPUT
_NDM_HOTSPOT_FWD
_NDM_HTTP_INPUT
_NDM_INPUT
_NDM_IPSEC_FORWARD
_NDM_IPSEC_INPUT
_NDM_IPSEC_INPUT_FILTER
_NDM_IPSEC_INPUT_FLT_BPS
_NDM_IPSEC_OUTPUT_FILTER
_NDM_IPSEC_OUTPUT_FLT_BPS
_NDM_MULTICAST_INPUT
_NDM_OUTPUT
_NDM_SL_FORWARD
_NDM_SL_PRIVATE
_NDM_SL_PROTECT
_NDM_TELNET_INPUT
_NDM_TUNNELS_INPUT

и до кучи цепочка


@Home

которая выбивается из общего "потока"

С цепочками FTP/HTTP/TELNET более-менее понятно - там стоят правила заворачивающие траффик на указанные через веб-фейс или CLI порты (хотя я конечно могу ошибаться), а вот по остальным хотелось бы конкретики :)

 

Зачем вам эта конкретика? Есть какие-то проблемы?

Link to comment
Share on other sites

  • 0
1 час назад, Le ecureuil сказал:

Зачем вам эта конкретика? Есть какие-то проблемы?

Проблем нет. Просто хотелось разобраться с этим частоколом дополнительных цепочек правил, что к чему и зачем. Что можно трогать, что не стоит. Разве данный вопрос ещё не поднимался ?

Link to comment
Share on other sites

  • 0
18 часов назад, OmegaTron сказал:

Проблем нет. Просто хотелось разобраться с этим частоколом дополнительных цепочек правил, что к чему и зачем. Что можно трогать, что не стоит. Разве данный вопрос ещё не поднимался ?

Трогать никакие не стоит. Они все важны для работы той или иной функциональности.

Если есть вопросы куда добавлять ваши собственные правила - спрашивайте с описанием ситуации, подскажу.

Link to comment
Share on other sites

  • 0
В 06.12.2018 в 22:48, Le ecureuil сказал:

Трогать никакие не стоит. Они все важны для работы той или иной функциональности.

Ей богу, прямо тайны Мадридского двора ))) Меня эта самая функциональность и ответственные за неё цепочки и интересуют, по причине чего собственно и была заведена тема. Одно дело видеть в выхлопе листинга iptables цепочки INPUT/FORWARD/OUTPUT (либо иные стандартные) и другое - частокол неясных субцепей.

Пользуясь случаем спрошу - что там за "механизм" такой наяривает, что таблица переписывается заново чуть ли не каждые 10-20 секунд ? Даже протестировать вменяемо правило невозможно - сбрасывается. А писать каждое правило в скрипт в /opt/etc/ndm/netfilter.d/ ради его банальной проверки сильно напрягает.

Link to comment
Share on other sites

  • 0

В саппорте дали сводку по цепочкам iptables :)

_NDM_ACL_IN  правила на forward через кинетик
_NDM_ACL_IN_EXCEPTIONS цепочка для облачного сервиса
_NDM_ACL_OUTправила на forward через кинетик  
_NDM_BFD_INPUT  от перебора telnet,ftp,http
_NDM_FORWARD  собственно проходящий трафик
_NDM_FTP_INPUT  от перебора telnet,ftp,http связанные цепочки
_NDM_HOTSPOT_FWD хотспот который регулирует доступ в интернет пользователям локальной сети
_NDM_HTTP_INPUT от перебора telnet,ftp,http связанные цепочки
_NDM_INPUT трафик предназначенный самому роутеру
_NDM_IPSEC_FORWARD  
_NDM_IPSEC_INPUT 
_NDM_IPSEC_INPUT_FILTER 
_NDM_IPSEC_INPUT_FLT_BPS 
_NDM_IPSEC_OUTPUT_FILTER 
_NDM_IPSEC_OUTPUT_FLT_BPS 


Все выделенные касаются прохождению трафика IPsec чере роутер. 
первая понятно это проходящий
вторая понятна это самому роутеру
третья для подключения ipsec udp500/4500
_NDM_MULTICAST_INPUT для получения мультикаста
_NDM_OUTPUT от самого хоста
_NDM_SL_FORWARD 
_NDM_SL_PRIVATE 
_NDM_SL_PROTECT 


Выделенные:Данная конструкция обеспечивает реализацию разделения интерфейсов по уровню безопасности
_NDM_TELNET_INPUT от перебора telnet,ftp,http связанные цепочки
_NDM_TUNNELS_INPUT для GRE/IPIP туннелей

Edited by OmegaTron
  • Thanks 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...