Cu puțin timp în urmă, am avut câteva probleme cu placa mea ethernet și a trebuit să-mi resetam complet configurația rețelei (a trebuit să rescriu și să reîncarc un nou netplan.yaml, care folosește Network Manager)
Efectul secundar al acestui lucru (cred că ar fi putut fi cauzat de o altă remediere pe care am încercat-o) este că nu mai puteam accesa internetul. O soluție oferită în Cum să resetați complet setările de rețea ubuntu? este să ștergeți regulile iptables, care într-adevăr funcționează, dar este o „remediere temporară”, așa cum am, ca utilizatorul joe_inz din firul original, trebuie să o fac la fiecare pornire (ceea ce nu este convenabil).
Aici este rezultatul lui sudo iptables -L pe fiecare cizma:
Lanț INPUT (politica DROP)
target prot opt sursă destinație
DROP all -- oriunde oriunde
DROP all -- oriunde oriunde
Lanț FORWARD (politica DROP)
target prot opt sursă destinație
Lanț OUTPUT (politica DROP)
target prot opt sursă destinație
DROP all -- oriunde oriunde
DROP all -- oriunde oriunde
După cum puteți vedea, practic blochează totul
După ce am săpat puțin și am înțeles ce este iptables (și, în consecință, am înțeles și faptul că a nu avea reguli deloc nu este o idee grozavă), am luat setul de reguli pentru „începători” oferit aici. https://doc.ubuntu-fr.org/iptables, a instalat iptables-persistent și le-a salvat în /etc/iptables/rules.v4
Iată cum arată regulile după primul import (și cum acestea ar trebui să arată ca) :
Lanț INPUT (politica DROP)
target prot opt sursă destinație
ACCEPT pe toate -- oriunde oriunde
ACCEPT toate -- oriunde oriunde PKTTYPE = multicast
DROP tcp -- oriunde oriunde ctstate steaguri tcp INVALIDE:FIN, PSH, URG/FIN, PSH, URG
DROP tcp -- oriunde oriunde ctstate steaguri TCP INVALIDE:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
DROP tcp -- oriunde oriunde ctstate steaguri TCP INVALIDE:FIN,SYN,RST,PSH,ACK,URG/NONE
DROP tcp -- oriunde oriunde ctstate INVALID tcp flags:SYN,RST/SYN,RST
DROP all -- oriunde oriunde PKTTYPE = difuzare
ACCEPTĂ toate -- oriunde oriunde ctstate RELATED,STABLISHED
LOG all -- oriunde oriunde avertizare la nivel LOG
Lanț FORWARD (politica DROP)
target prot opt sursă destinație
LOG all -- oriunde oriunde avertizare la nivel LOG
Lanț OUTPUT (politica DROP)
target prot opt sursă destinație
ACCEPT pe toate -- oriunde oriunde ! ctstate INVALID
Cu toate acestea, după repornire, nu aveam acces la internet la fel ca înainte, așa că am verificat din nou regulile și au arătat astfel:
Lanț INPUT (politica DROP)
target prot opt sursă destinație
DROP all -- oriunde oriunde
DROP all -- oriunde oriunde
ACCEPT pe toate -- oriunde oriunde
ACCEPT toate -- oriunde oriunde PKTTYPE = multicast
DROP tcp -- oriunde oriunde ctstate steaguri tcp INVALIDE:FIN, PSH, URG/FIN, PSH, URG
DROP tcp -- oriunde oriunde ctstate steaguri TCP INVALIDE:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
DROP tcp -- oriunde oriunde ctstate steaguri TCP INVALIDE:FIN,SYN,RST,PSH,ACK,URG/NONE
DROP tcp -- oriunde oriunde ctstate INVALID tcp flags:SYN,RST/SYN,RST
DROP all -- oriunde oriunde PKTTYPE = difuzare
ACCEPTĂ toate -- oriunde oriunde ctstate RELATED,STABLISHED
LOG all -- oriunde oriunde avertizare la nivel LOG
Lanț FORWARD (politica DROP)
target prot opt sursă destinație
LOG all -- oriunde oriunde avertizare la nivel LOG
Lanț OUTPUT (politica DROP)
target prot opt sursă destinație
DROP all -- oriunde oriunde
DROP all -- oriunde oriunde
ACCEPT pe toate -- oriunde oriunde ! ctstate INVALID
Fără niciun motiv aparent, au existat din nou reguli care aruncă fiecare pachet
iptables-restore restabilește cel puțin setul de reguli pe care l-am luat online, ceea ce este mult mai bine decât nimic (deci îl voi folosi în loc de o spălare completă așa cum am făcut înainte), dar știe cineva de ce laptopul meu ar renunța totul în mod implicit și cum sa repari asta?
PS: De asemenea, dacă ați avea sfaturi despre cum aș putea ajusta acest set de reguli, ar fi foarte binevenit, deoarece a avea un firewall solid nu este de neglijat.
PPS: Sunt pe Ubuntu 20.04 dacă asta face vreo diferență
