HOWTO: Iptables для новичков

[kanef]

Приветсвую. Объясните почему не работет правило OUTPUT для порта 80? Как только я устанвливаю iptables -P OUTPUT ACCEPT -- все работает.
Спасибо

(Нажмите, чтобы показать/скрыть)

#!/bin/bash

# reset all rules:
sudo iptables -t nat -F
sudo iptables -t mangle -F
sudo iptables -F
sudo iptables -X

# all drop:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
# loopback:
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# tcp port 80 (http):
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

# allow any already established connetions:
sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

[AnrDaemon]

Потому что не надо трогать OUTPUT.
И не надо показывать нам скриты - мы вам не онлайн-интерпретаторы. Показывайте правила. iptables-save.

[kanef]

iptables-save

(Нажмите, чтобы показать/скрыть)

sudo iptables-save
# Generated by iptables-save v1.4.21 on Mon Mar 14 15:22:54 2016
*filter
:INPUT DROP [2:235]
:FORWARD DROP [0:0]
:OUTPUT DROP [131:54986]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT
COMMIT
# Completed on Mon Mar 14 15:22:54 2016
# Generated by iptables-save v1.4.21 on Mon Mar 14 15:22:54 2016
*mangle
:PREROUTING ACCEPT [153:14407]
:INPUT ACCEPT [142:9913]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [243:61626]
:POSTROUTING ACCEPT [112:6640]
COMMIT
# Completed on Mon Mar 14 15:22:54 2016
# Generated by iptables-save v1.4.21 on Mon Mar 14 15:22:54 2016
*nat
:PREROUTING ACCEPT [12:4697]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [80:4974]
:POSTROUTING ACCEPT [20:1190]
COMMIT
# Completed on Mon Mar 14 15:22:54 2016

[AnrDaemon]

Это такая мода - читать и отвечать только на последнюю строчку?

[kanef]

Это такая мода - читать и отвечать только на последнюю строчку?

Слушай, я попросил объяснить почему не работает правило. Можешь вырубить свой эгофильтр и сделать это?

[AnrDaemon]

Потому что не надо трогать таблицу OUTPUT.
Просто НЕ ТРОГАЙ ЕЁ. Даже моих знаний недостаточно, чтобы её уверенно фильтровать, а ты просто убиваешь свою систему.

[kanef]

Потому что не надо трогать таблицу OUTPUT.
Просто НЕ ТРОГАЙ ЕЁ. Даже моих знаний недостаточно, чтобы её уверенно фильтровать, а ты просто убиваешь свою систему.

Спасибо за твое участие, но мне нужен ответ, а не совет, который не подразумевает развитие.

[AnrDaemon]

Все ответят тебе так же. Надо дохрена всего знать об IP стеке, чтобы правильно фильтровать OUTPUT при -P DROP.
Пользователь решил продолжить мысль 14 Марта 2016, 15:07:35:Плюс у тебя все правила перепутаны. То, что должно быть первым, стоит последним.

[kanef]

Все ответят тебе так же. Надо дохрена всего знать об IP стеке, чтобы правильно фильтровать OUTPUT при -P DROP.
Пользователь решил продолжить мысль [time]14 Март 2016, 16:07:35[/time]:Плюс у тебя все правила перепутаны. То, что должно быть первым, стоит последним.

А можешь подсказать рабочее решение для IN/OUT порт:80? при -P IN/OUTPUT DROP

[AnrDaemon]

Ещё раз, для ОЧЕНЬ слепых и глухих - НЕЛЬЗЯ просто взять и открыть один порт и ждать, что всё будет работать. Оставьте OUTPUT в покое, он вам ничем не поможет.

[kanef]

Ещё раз, для ОЧЕНЬ слепых и глухих - НЕЛЬЗЯ просто взять и открыть один порт и ждать, что всё будет работать. Оставьте OUTPUT в покое, он вам ничем не поможет.

Неприкольная у тебя манера давать ответы в обертке своего интеллектуального "превосходства" в ветке ХауТу для новичков... прям мешает выдать реально полезную информацию в нормальной для восприятия форме.

[AnrDaemon]

Переведите пожалуйста слово "неприкольная"?
Я даю ответ для новичка, а не для гуру, который понимает, что он делает, но не знает какого-то нюанса.
Просто. Оставьте. OUTPUT. В покое.

[kanef]

Просто. Оставьте. OUTPUT. В покое.

Не дождетесь! )
Ибо это ответ не на мой вопрос. Я спросил -- почему не работает? И ответ "оставь в покое, не трогай" сюда не подходит.
Было бы гораздо продуктивней если бы мне пояснили -- почему не работает, что нужно сделать чтоб заработало, но это видимо не к тебе.

[AnrDaemon]

Не работает потому что вы заблокировали интернет. Очевидно же.

[alexxnight]

Мдааа..... Ну давайте, я еще скажу, что OUTPUT в таблице filter трогать не нужно...