IPtables. Изменение Default Action для цепочки

Пакеты, которые не подпадают ни под одно правило в цепочке, будут обработаны действием по умолчанию(Default Action). Обычно, по умолчанию - пропустить(ACCEPT) пакет. На главной странице модуля, действие по умолчанию для каждой цепочки отображается справа от кнопки Set default action(Установить действие по умолчанию).

Для изменения Default Action, сделайте следующее:

1. Выберите новое действие по умолчанию из выпадающего списка, справа от кнопки Set default action(Установить действие по умолчанию).

Доступные действия:

  • ACCEPT(Пропустить);
  • DROP(Отбросить);
  • USERSPACE(Пользовательская обработка);
  • EXIT.

Смотри раздел Фильтрация сетевого трафика, чтобы подробней узнать об этих действиях. Обычно используются ACCEPT и DROP.

2. Нажмите на кнопку Set default action(Установить действие по умолчанию), для установки действием по умолчанию, действие выбранное в п.1.

3. Если действием по умолчанию выбрано DROP, то обязательно добавьте дополнительные правила, которые бы разрешали вашей системе взаимодействовать с другими серверами и поддерживать важные сервисы.

4. Когда закончите, нажмите кнопку Apply Configuration(Применить конфигурацию), чтобы назначить новое действие по умолчанию.

Установка DROP как действия по умолчанию, позволяет моментально обрезать весь трафик к вашей системе и возможно сделать её недоступной. Рекомендуется, разрешить следующие типы трафика:

  • Все устанавливаемые соединения от вашей системы Для этого создайте разрешительное правило с Connection state(Статус подключения) в значении Equals(Равно) Existing connection(Существующее подключение).
  • Соединения связанные с уже установленными, типа FTP Создайте разрешительное правило с Connection state(Статус подключения) в значении Equals(Равно) Related to existing(Связанное с существующим).
  • Весь трафик на петлевом(loopback) интерфейсе Создайте разрешительное правило с критерием Incoming interface(Входящий интерфейс) в значении Equals(Равно) lo.
  • Трафик от вашей системы самой себе на главный интерфейс Для каждого интерфейса создайте разрешительное правило с полями Source address or network(IP адрес источника или сеть) и Destination address or network(IP адрес назначения или сеть) установленными в значение IP адреса главного интерфейса.
  • Безопасные ICMP типы пакетов Создайте четыре разрешительных правила для ICMP пакетов типа Equals echo-reply, destination-unreachable, source-quench и time-exceeded.

Изменение действия по умолчанию для проходящих(FORWARD) пакетов на DROP, может быть причиной многих проблем - эквивалентно закрытию всего трафика в сеть. Изменение действия по умолчанию, для исходящих пакетов на DROP - не лучшая идея, так как это обрежет весь сетевой доступ и, возможно, имеет очень мало смысла в большинстве случаев.




Ссылки:

К содержанию

© Copyright 2004-2017 - CMS Made Simple
Сайт работает на CMS Made Simple version 1.4.1

© Все печеньки Break-people.ru принадлежат авторам проекта.

Яндекс цитирования Рейтинг@Mail.ru Яндекс.Метрика