Início / unix / Perguntas / 716846
Accepted
Julian Zalewski
Asked: 2022-09-11 12:19:11 +0800 CST

Saída de iptables -L após alterar a política

  • 772

Quando eu mudo a política padrão de INPUT, a saída de iptables -L para após a terceira linha. Eu verifiquei tanto por ssh quanto localmente. Saída do meu terminal (sim, eu sei que não deveria estar usando root).

root@pi4:/# iptables -L -v
Chain INPUT (policy ACCEPT 73 packets, 16085 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  261 18964 ACCEPT     tcp  --  any    any     192.168.0.0/16       anywhere             tcp dpt:60022
   94  7786 ACCEPT     all  --  lo     any     anywhere             anywhere            
    0     0 ACCEPT     tcp  --  any    any     192.168.0.0/16       anywhere             tcp dpt:netbios-ssn
    0     0 ACCEPT     tcp  --  any    any     192.168.0.0/16       anywhere             tcp dpt:microsoft-ds
    0     0 ACCEPT     udp  --  any    any     192.168.0.0/16       anywhere             udp dpt:netbios-ns
    4   962 ACCEPT     udp  --  any    any     192.168.0.0/16       anywhere             udp dpt:netbios-dgm

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

root@pi4:/# iptables -P INPUT DROP

root@pi4:/# iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
^C

root@pi4:/#
iptables

1 respostas

  1. Best Answer

    Está diminuindo na pesquisa de DNS. Como o novo conjunto de regras agora impede que respostas DNS sejam recebidas, para cada linha haverá algum tempo antes que um tempo limite seja atingido.

    Você deve sempre usar o -nparâmetro para evitar a pesquisa de DNS. Na verdade, -vtambém deve ser usado para dar algum sentido à sua saída. E para ser franco, iptables -Lquase nunca deve ser usado, especialmente no stackexchange, porque dificulta a reprodução do que é perguntado em uma pergunta. O único caso útil é quando uma correspondência ou destino específico exibe informações de estado adicionais em sua saída.

    Você deve preferir um destes:

    • iptables -Spara uma única mesa ou cadeia (se fornecido)

    • iptables-save -cpara todo o conjunto de regras com contagem de pacotes (o que ajuda a descobrir se uma regra não corresponde)

    De qualquer forma, você deve adicionar uma regra de estado para permitir que o tráfego de resposta seja recebido, incluindo respostas DNS:

    iptables -I INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
    • 1

relate perguntas