многострадальный iptables (уточнение)

[slyberkut]

Приветствую все юниксоидов!

Я уже начал путаться с этим фильтром, поэтому возник вопрос

Есть сервер, через который проходит трафик, для него актуально правило цепочки FORWARD, и есть конечный компьютер, находящийся за сервером, нужно запретить все, кроме RDP.

Даю правило iptables -A FORWARD -d 192.168.20.13 -p tcp --dport 3389 -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT на разрешение RDP, далее даю правило остальное запретить iptables -A FORWARD -d 192.168.20.13 -j DROP

Соответственно оно работает как надо, то есть если с компьютера послать любой запрос, будь то эхо, трассировка или браузер наконец, пакет уйдет на конечный сервер, но за счет правила не сможет получить ответ, потому как мы все дропим

Но если дать правило iptables -A FORWARD -s 192.168.20.13 -j DROP то дропается абсолютно все, в том числе ранее прокинутый RDP, то есть у нас компьютер вообще не может послать какой-либо запрос(!!!и получить ответ??!!!). Но у нас есть правило, которое гласит, что можно устанавливать новые и поддерживать существующие.

Вопрос, --ctstate NEW,ESTABLISHED,RELATED распространяется только на destination и не более? Соответственно если дропаем по источнику, то на источнике и надо разрешить тот же RDP?

[snowin]

slyberkut, а если правила поменять местами?

[alexxnight]

Да, Вы действительно запутались...
https://www.opennet.ru/docs/RUS/iptables/
там есть оглавление, Порядок прохождения пакетов

и еще поищите в инете вот такую картинку Netfilter-diagram-rus.png

[fisher74]

1. А смысл добавлять фильтр по состоянию пакета?
2. При непонятках, имеет смысл рассматривать всю цепочку, а ещё лучше весь список правил, а не отдельно взятые. Потому без выхлопа iptables-save разговор будет на уровне "может быть".

[slyberkut]

slyberkut, а если правила поменять местами?

Ну а смысл это делать? Если я все верно понял оно будет работать точно так же, только от источника

Да, Вы действительно запутались...
https://www.opennet.ru/docs/RUS/iptables/
там есть оглавление, Порядок прохождения пакетов

и еще поищите в инете вот такую картинку Netfilter-diagram-rus.png

О блин, а я это искал как раз....(я про мануал)

1. А смысл добавлять фильтр по состоянию пакета?
2. При непонятках, имеет смысл рассматривать всю цепочку, а ещё лучше весь список правил, а не отдельно взятые. Потому без выхлопа iptables-save разговор будет на уровне "может быть".

А зачем? других то правил в системе нету... ESTABLISHED ради эксперимента добавил

[AnrDaemon]

(Нажмите, чтобы показать/скрыть)

А зачем?

Затем, что правила работают все вместе, а не каждое по отдельности.

[slyberkut]

(Нажмите, чтобы показать/скрыть)

А зачем?

Затем, что правила работают все вместе, а не каждое по отдельности.

Ну не все вместе, если правило не соответствует критерию, оно идет дальше, то есть вниз...Забыл как это научно называется(((

[fisher74]

Думаю мне пора покидать этот топик. ТС лучше знает, какая информация нужна для выявления и устранения проблемы.
Отхожу в сторону и буду оттуда наблюдать...