Помогите, всё-таки разобраться. Очень хочется.
И вот пока man читаю или очередное HOW-TO или какой-нибудь скрипт всё вроде ясно.
И ка пакеты идут, и как проходят цепочки и как правила работают, но дьявол в деталях и как только доходит до практики, куча мелких вопросов хоронит всю до того понятную логику, а интернет перестаёт работать.
Вот мои вопросы, которые ставят меня в тупик:
0 У меня eth0 смотрит в интернет на постоянном IP 86.110.МОЙ.IP, wlan0 (192.168.8.1) в домашнюю сетку (это ещё не вопрос

)
1 Откуда берутся пакеты вида:
IPT OUTPUT packet died: IN= OUT=lo SRC=10.84.29.108 DST=86.110.МОЙ.IP LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=14181 DPT=60950 WINDOW=0 RES=0x00 ACK RST URGP=0
в цепочке OUTPUT? Для меня решительно непонятно тут следующие:
1.1 если мои IP это 86.110.МОЙ.IP, 192.168.8.1 и 127.0.0.1, а цепочку OUTPUT проходят только локально исходящие пакеты, то как там появляется пакте с SRC отличным от трёх вышеперечисленных IP?
1.2 Откуда вообще в моём случае беруться IP из диапазона 10.х.х.х?
1.3 Почему пакет в котором ни один из IP не 127.0.0.1 отправляется через интерфейс lo?
1.x Ну и что с этими пакетами делать? (из того что это ACK - это видимо ответ на мою попытку установить соединение, а значит его надо пропустить, но с кем и какое приложение пытается установить соединение через lo да ещё и на адрес несуществующей локалки и кто блин ему отвечает?)
2 Откуда мог взяться пакет:
IPT OUTPUT packet died: IN= OUT=wlan0 SRC=89.208.136.153 DST=192.168.8.2 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=43107 WINDOW=0 RES=0x00 ACK RST URGP=0
в цепочке OUTPUT, если я не пытался установить никаких соединений с машиной 192.168.8.2?
2.1 Почему у него внешний IP если этот пакет идёт через OUTPUT? Я ожидал бы увидеть его в FORWARD, но не тут...
3 Почему "нет интернета" если третьим и последним видом заблокированных пакетов являются пакеты вида:
IN=eth0 OUT= MAC=00:18:f3:fb:34:42:00:1b:d5:64:88:bf:08:00 SRC=189.18.69.106 DST=86.110.МОЙ.IP LEN=131 TOS=0x00 PREC=0x80 TTL=105 ID=15263 PROTO=UDP SPT=46702 DPT=58878 LEN=111
? При этом пинги идут, nslookup получает адреса, а странички в опере не грузятся.
3.1 Что это вообще за пакет бегающий по непривилегированным портам?
3.x Надо ли их разрешить?
4 Этот вопрос уже по iptables - сто случается с пакетом если он был отправлен на проверку в пользовательскую цепочку и не попал ни под одно правил в ней? Он будет выброшен или вернётся в вызвавшую цепочку?
Есть ещё пара вопросов по скриптам которые приводились в этой теме, но я собираюсь найти на них ответы сам, когда пойму, то что ещё не понимаю...