iptables - ничего не понятно

[nyash-bash]

Здравствуйте.
Начал разбираться с iptables (читай, чайник-кофейник). Читаю https://www.opennet.ru/docs/RUS/iptables/#SAVEANDRESTORE и на ubuntu wiki. Ставлю блок всех входящих:

Код: [Выделить]

iptables -P INPUT DROPпосле этого просто пропадает сеть. Сначала подумал, нужно перезагружать NW после таких действий, но нет.
Текущие правила:

Код: [Выделить]

# Generated by iptables-save v1.6.0 on Mon Mar 13 20:27:04 2017
*filter
:INPUT DROP [34662:38274200]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [26346:3126519]
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
COMMIT
# Completed on Mon Mar 13 20:27:04 2017
Сеть через NAT провайдера.
Если я правильно понял, то я заблокировал только входящие соединения, которые инициируются извне. Тогда почему полностью пропадает соединение?
В syslog'e такое наблюдаю:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Mar 13 20:32:44 xu-desk NetworkManager[2830]: ** Message: nm-pptp-ppp-plugin: (nm_phasechange): status 5 / phase 'establish'
Mar 13 20:32:44 xu-desk NetworkManager[2830]: ** Message: nm-pptp-ppp-plugin: (nm_phasechange): status 11 / phase 'disconnect'
Mar 13 20:32:44 xu-desk NetworkManager[2830]: Connection terminated.
Mar 13 20:32:44 xu-desk pppd[2889]: Connection terminated.
Mar 13 20:32:44 xu-desk NetworkManager[2830]: ** Message: Terminated ppp daemon with PID 2889.
Mar 13 20:32:44 xu-desk NetworkManager[2830]: <error> [1489426364.8041] platform-linux: do-change-link[7]: failure changing link: failure 19 (No such device)
Mar 13 20:32:44 xu-desk NetworkManager[2830]: <warn>  [1489426364.8044] device (ppp0): failed to disable userspace IPv6LL address handling
Mar 13 20:32:44 xu-desk NetworkManager[2830]: <info>  [1489426364.8046] vpn-connection[0x1c15220,5d32598a-fed0-4d34-96bb-1592492a9b3f,"TTK",7:(ppp0)]: VPN plugin: state changed: stopping (5)
Mar 13 20:32:44 xu-desk NetworkManager[2830]: <info>  [1489426364.8047] vpn-connection[0x1c15220,5d32598a-fed0-4d34-96bb-1592492a9b3f,"TTK",7:(ppp0)]: VPN plugin: state changed: stopped (6)
Mar 13 20:32:44 xu-desk NetworkManager[2830]: <info>  [1489426364.8054] vpn-connection[0x1c15220,5d32598a-fed0-4d34-96bb-1592492a9b3f,"TTK",7:(ppp0)]: VPN plugin: state change reason: unknown (0)
Mar 13 20:32:44 xu-desk NetworkManager[2830]: <info>  [1489426364.8054] manager: NetworkManager state is now CONNECTED_LOCAL
Mar 13 20:32:44 xu-desk NetworkManager[2830]: <info>  [1489426364.8122] manager: NetworkManager state is now CONNECTED_GLOBAL
Mar 13 20:32:44 xu-desk NetworkManager[2830]: <info>  [1489426364.8122] dns-mgr: Writing DNS information to /sbin/resolvconf
Mar 13 20:32:44 xu-desk dnsmasq[2916]: setting upstream servers from DBus
Mar 13 20:32:44 xu-desk NetworkManager[2830]: <error> [1489426364.8159] platform-linux: do-change-link[7]: failure changing link: failure 19 (No such device)
Mar 13 20:32:44 xu-desk dbus[1008]: [system] Activating via systemd: service name='org.freedesktop.nm_dispatcher' unit='dbus-org.freedesktop.nm-dispatcher.service'
Mar 13 20:32:44 xu-desk NetworkManager[2830]: <info>  [1489426364.8165] vpn-connection[0x1c15220,5d32598a-fed0-4d34-96bb-1592492a9b3f,"TTK",0]: VPN service disappeared
Mar 13 20:32:44 xu-desk NetworkManager[2830]: <info>  [1489426364.8169] devices removed (path: /sys/devices/virtual/net/ppp0, iface: ppp0)
Mar 13 20:32:44 xu-desk NetworkManager[2830]: ** Message: nm-pptp-ppp-plugin: (nm_phasechange): status 1 / phase 'dead'
Mar 13 20:32:44 xu-desk NetworkManager[2830]: ** Message: nm-pptp-ppp-plugin: (nm_exit_notify): cleaning up
Mar 13 20:32:44 xu-desk systemd[1]: Starting Network Manager Script Dispatcher Service...
Mar 13 20:32:44 xu-desk pppd[2889]: Exit.
Mar 13 20:32:44 xu-desk dbus[1008]: [system] Successfully activated service 'org.freedesktop.nm_dispatcher'
Mar 13 20:32:44 xu-desk systemd[1]: Started Network Manager Script Dispatcher Service.
Mar 13 20:32:44 xu-desk nm-dispatcher: req:1 'vpn-down' [ppp0]: new request (1 scripts)
Mar 13 20:32:44 xu-desk nm-dispatcher: req:1 'vpn-down' [ppp0]: start running ordered scripts..

ТС не появлялся на Форуме более полугода по состоянию на 14/07/2019 (последняя явка: 14/03/2017). Модератором раздела принято решение закрыть тему.
--zg_nico

[AnrDaemon]

Сначала нужно написать правила, а потом уже менять действие по умолчанию.
Возьмите пример для начала, что ли.

[nyash-bash]

Сначала нужно написать правила, а потом уже менять действие по умолчанию.
Возьмите пример для начала, что ли.

Или я чего то не понял, или по ссылке рссказ о том, как автозагружать правила (??). У меня вопрос немного другого характера.
Пользователь добавил сообщение 13 Марта 2017, 22:26:08:Почитал еще о порядке правил и необходимости держать lo открытой. После ребута добавил

Код: [Выделить]

iptables -I INPUT 1 -i lo -j ACCEPTи после

Код: [Выделить]

iptables -P INPUT DROP
Сеть не работает. Получается без наличия каких то правил на входящее, сеть работать не собирается... Странно, что везде никаких оговорок по поводу запрета на все входящие нет.
Разбираюсь дальше, что еще нужено разрешить, чтобы работала сеть.
Пользователь добавил сообщение 13 Марта 2017, 22:48:45:Дошел до состояний. Как оказалось, нужно разрешить входящие-ответы установленные моей же системой исходящие. Все сбросил, набрал так

Код: [Выделить]

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i enp7s0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROPНе работает...

[ConnaiSSant]

Вы решили установить политику по умолчанию DROP. Это правило блокирует все входящие пакеты. Осталось только разрешить по мимо lo еще и пакеты со статусом RELATED, ESTABLISHED на ваш сетевой интерфейс. Как один из вариантов, например

[nyash-bash]

ConnaiSSant,

Код: [Выделить]
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i enp7s0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
Не работает...

Вроде как уже сделал, но сеть упорно отказывается работать.

[AnrDaemon]

или по ссылке рссказ о том, как автозагружать правила

Если бы вы читали внимательно, нашли бы там и минимальный набор правил, с которого можно начать обучение.

[fisher74]

Код: [Выделить]

iptables -A INPUT -i enp7s0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPTВроде как уже сделал, но сеть упорно отказывается работать.

То что VPN работает через другой интерфейс не учли?

[nyash-bash]

Код: [Выделить]

iptables -A INPUT -i enp7s0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPTВроде как уже сделал, но сеть упорно отказывается работать.

То что VPN работает через другой интерфейс не учли?

Так до VPN я еще вроде как и не дошел. Речь о локалке пока. enp7s0 ее интерфейс. И он пока молчит. Вот в чем вопрос. С VPN я так понял должно быть похоже, т.е. вместо enp7s0 я добавляю свой ppp0 и добавляю инапсуляцию -p gre, судя по wiki. Но чтобы с VPN разбираться надо локалку наладить.
Пользователь добавил сообщение 13 Марта 2017, 23:23:35:AnrDaemon, прошу прощения. Уверен вы не зря заслуженный пользователь и ваша тема многим помогла. Но я сказал, что я чайник-кофейник пока, и для меня ваша тема выглядит не как вы выражаетесь "минимальный набор правил", а как гуидэ "что делать, чтобы автозагрузить без пояснений о том, что делали до этого". Мне как новичку тема не информативна, увы.

[AnrDaemon]

Перевод - тему вы даже не потрудились прочесть.

[nyash-bash]

Перевод - тему вы даже не потрудились прочесть.

Хорошо. Вы видимо не поняли. Поясню свою позицию.
Итак, я - новичек, с познаниями близкими к нулю, захожу в вашу тему и вижу:

Код: [Выделить]

$ sudo -E -s
# iptables -F
# iptables -X
# iptables -P OUTPUT ACCEPT
# iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -p tcp -m tcp --dport 80 -j REJECT
# iptables -P INPUT DROP
# exit$

Какие то строки, из знакомого только

Код: [Выделить]

# iptables -F
# iptables -P INPUT DROP

И дальше про автозагрузку. Какая строка за что отвечает, в каких случая что используется. Т.е. для новичка ( а я это подчеркнул 2 раза !!! ) ничего не понятно. При это вы претендуете на ответ года. А мне тогда это ничего не сказало, ровно до того момента как я начал уже на других форумах и статьях выискивать информацию, в которой по человечески поясняется схема. Теперь понимаете?

А теперь по теме.
Локалку я таки дожал, пингуются ресурсы внутри сети. Теперь ВПН.
Нашел в этой теме решение с подгрузкой модуля nf_nat_pptp, но он вроде как только для сервера. Поискал еще похожие модули с pptp и gre. В итоге так

Код: [Выделить]

modprobe nf_conntrack_pptp
modprobe nf_conntrack_proto_gre
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i enp7s0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -m tcp --dport 1723 -j ACCEPT
iptables -A INPUT -i ppp0 -p gre -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
ВПН пока не реагирует. Что-то упускаю

[AnrDaemon]

ничего не понятно.

Знаете, в чём разница между новичком и нубом?
Новичок поинтересуется, что значат неизвестные строки.
Нубас с умным видом будет строчить портянки маловразумительных текстов, оправдывая свои "знания".

[nyash-bash]

AnrDaemon, а как по мне, человек, который разбирается в теме и адекватен, не будет кидать новичку ссылку, где нет нормального пояснения. Так что "раунд". Спасибо за помощь, товарищ Даемон. Вы очень помогли. Прошу больше не пытаться мне помочь. Во благо нас обоих.

[fisher74]

Так до VPN я еще вроде как и не дошел. Речь о локалке пока. enp7s0 ее интерфейс.

О, сорри, я что-то не стелепатил эту информацию.
Во-первых, Ваш опрос не соответствует теме топика (внимательно прочтите его название)
Во-вторых, рекомендую прежде чем задавать конкретные вопросы - расскажите о Вашем полигоне, хотя бы основные моменты: какой интерфейс куда смотрит и какова конечная цель. Хотя абстрактная цель, конечно, ясна - научиться настраивать netfilter, но я про более приближённую цель. Например, понять как влияют правила в цепочке INPUT.

[Дмитрий Бо]

nyash-bash, с такой постановкой вопроса - переношу в новичковый раздел.
Я так и не понял, что нужно-то. iptables -P INPUT DROP отработал как положено, всё нормально