Cum „DROP all anywhere” din tabelul FORWARD nu face routerul meu inutil?

M-Pixel

10.03.2023, 18:33

Am aflat recent despre IPTables și rutarea IP pentru a configura un computer cu o singură placă pentru a izola o anumită mașină de restul rețelei mele, permițându-i totodată accesul la internet, printre alte câteva reguli.

Am decis să folosesc aceste noi cunoștințe pentru a îmbunătăți securitatea dispozitivelor mele media încorporate (și poate să le împiedic să afișeze reclame și să raporteze telemetria). Aveam un vechi router ASUS cu firmware Merlin în dulap, așa că l-am configurat și am pus SSH să funcționeze.

Spre deosebire de firewall-ul meu anterior bazat pe SBC, care avea o instalare proaspătă a Ubuntu și o tablă goală în iptables, routerul ASUS vine cu mai multe reguli definite din cutie, iar tabelul FORWARD mă confundă puțin:

Lanț FORWARD (politica DROP)
target prot opt sursă destinație
ACCEPT pe toate -- oriunde oriunde state RELATED,STABLISHED
DROP all -- oriunde oriunde
DROP all -- oriunde oriunde stare INVALID
ACCEPT pe toate -- oriunde oriunde
ACCEPT pe toate -- oriunde oriunde ctstate DNAT
ACCEPT pe toate -- oriunde oriunde

Din înțelegerea mea, acest lucru ar împiedica routerul să funcționeze așa cum o face. Dacă televizorul a vrut să inițieze o solicitare către Netflix, de exemplu, routerul ar trebui să vadă că pachetul a venit de la NIC #2 și este destinat NIC-ului WAN - nu pentru orice proces intern - și, prin urmare, ar trebui să fie trecut prin tabelul FORWARD. Prima regulă nu ar trebui să se aplice deoarece pachetul este nou - încă nu au existat răspunsuri care să-i dea statutul RELATED sau ESTABLISHED. Următoarea regulă... ar trebui să o renunțe. Deci pachetul nu ajunge la Netflix și nu se întâmplă nimic.

De fapt, acest lucru mi se pare că ar trebui să împiedice orice și tot ceea ce nu este o comunicare directă între router în sine (de exemplu, interfața de administrare). Dar cu siguranță nu este cazul, deoarece dispozitivele atașate accesează internetul fără probleme. Deci, clar că este ceva ce îmi lipsește. Routerele ASUS nu folosesc tabelul FORWARD? Sau regulile nu sunt evaluate de sus în jos? De ce nu tabelul FORWARD de mai sus împiedica routerul meu să nu funcționeze corect ca comutator?

123

0 + 0

iptables

asus

Tero Kilkanen

10.03.2023, 20:32

În lista dvs. de reguli IPTables lipsesc informații de interfață pentru fiecare regulă. Cel mai probabil, regulile DROP sunt pentru traficul care vine prin interfața WAN. Vă rugăm să adăugați rezultatul `iptables -vL` la întrebare.

Răspunde

Ginnungagap

10.03.2023, 21:13

Sunteți sigur că dispozitivele fac IPv4?

Răspunde

M-Pixel

10.03.2023, 21:14

@TeroKilkanen Exact asta se întâmplă! Mi s-a părut ciudat că are mai multe reguli aparent identice. Din Ubuntu, sunt obișnuit cu `iptables -S`, care afișează echivalentul complet al liniei de comandă pentru fiecare regulă, dar pe care versiunea ASUS OS nu o are. Simțiți-vă liber să postați asta ca răspuns.

Răspunde

Nikita Kipriyanov

17.03.2023, 07:04

Singura modalitate garantată de a cunoaște configurația completă a firewall-ului este `iptables-save`. Nu este greu să găsești întrebări chiar și în ServerFault care au apărut doar din faptul că utilizatorul a folosit o variantă a lui `iptables -L` pentru a enumera regulile în loc să facă un dump corect cu `iptables-save`. După acestea din urmă, văzuseră realitatea și întrebarea a dispărut.

Răspunde

Puncte:1

Server

Tero Kilkanen

10.03.2023, 22:27

În lista dvs. de reguli IPTables lipsesc informații de interfață pentru fiecare regulă. Cel mai probabil, regulile DROP sunt pentru traficul care vine prin interfața WAN.

iptables-salvare sau iptables -S poate fi folosit pentru a afișa comenzile complete care au creat regulile.

0 + 0

SEF 777

întrebarea această in alte limbi:

EN: How does "DROP all anywhere" in the FORWARD table not render my router useless?

TH: "DROP ทุกที่" ในตาราง FORWARD ไม่ทำให้เราเตอร์ของฉันไร้ประโยชน์ได้อย่างไร

RO: Cum „DROP all anywhere” din tabelul FORWARD nu face routerul meu inutil?

RU: Как «DROP allwhere» в таблице FORWARD не делает мой маршрутизатор бесполезным?

VI: Làm thế nào để "DROP allwhere" trong bảng FORWARD không khiến bộ định tuyến của tôi trở nên vô dụng?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.