Приветствую все юниксоидов!
Я уже начал путаться с этим фильтром, поэтому возник вопрос
Есть сервер, через который проходит трафик, для него актуально правило цепочки FORWARD, и есть конечный компьютер, находящийся за сервером, нужно запретить все, кроме RDP.
Даю правило iptables -A FORWARD -d 192.168.20.13 -p tcp --dport 3389 -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT на разрешение RDP, далее даю правило остальное запретить iptables -A FORWARD -d 192.168.20.13 -j DROP
Соответственно оно работает как надо, то есть если с компьютера послать любой запрос, будь то эхо, трассировка или браузер наконец, пакет уйдет на конечный сервер, но за счет правила не сможет получить ответ, потому как мы все дропим
Но если дать правило iptables -A FORWARD -s 192.168.20.13 -j DROP то дропается абсолютно все, в том числе ранее прокинутый RDP, то есть у нас компьютер вообще не может послать какой-либо запрос(!!!и получить ответ??!!!). Но у нас есть правило, которое гласит, что можно устанавливать новые и поддерживать существующие.
Вопрос, --ctstate NEW,ESTABLISHED,RELATED распространяется только на destination и не более? Соответственно если дропаем по источнику, то на источнике и надо разрешить тот же RDP?