Регистрация Войти
Рейтинг:1
Caztan avatar Ubuntu

iptables блокирует все пакеты при загрузке

флаг fr
Caztan

Некоторое время назад у меня было несколько проблем с моей сетевой картой, и мне пришлось полностью сбросить конфигурацию сети (мне пришлось переписать и перезагрузить новый файл netplan.yaml, который использует Network Manager)

Побочным эффектом этого (я думаю, это могло быть вызвано другим исправлением, которое я пробовал) является то, что я больше не мог получить доступ к Интернету. Решение, представленное в Как полностью сбросить сетевые настройки Ubuntu? заключается в сбросе правил iptables, что действительно работает, но является «временным исправлением», поскольку я, как и пользователь joe_inz в исходной теме, должен делать это при каждом запуске (что неудобно).

Вот результат судо iptables -L при каждой загрузке:

Цепь INPUT (политика DROP)
целевая защита выбор источника назначения         
УДАЛИТЬ все -- в любом месте в любом месте            
УДАЛИТЬ все -- в любом месте в любом месте            

Цепочка FORWARD (политика DROP)
целевая защита выбор источника назначения         

Цепочка OUTPUT (политика DROP)
целевая защита выбор источника назначения         
УДАЛИТЬ все -- в любом месте в любом месте            
УДАЛИТЬ все -- в любом месте в любом месте

Как видите, он в основном блокирует все

Немного покопавшись и поняв, что такое iptables (и, следовательно, также поняв, что вообще не иметь правил — не лучшая идея), я взял «начинающий» набор правил, представленный здесь. https://doc.ubuntu-fr.org/iptables, установил iptables-persistent и сохранил их в /etc/iptables/rules.v4

Вот как выглядят правила после первого импорта (и как они должен выглядит как) :

Цепь INPUT (политика DROP)
целевая защита выбор источника назначения         
ПРИНИМАТЬ все -- в любом месте в любом месте            
ПРИНЯТЬ все -- в любом месте в любом месте PKTTYPE = многоадресная рассылка
DROP tcp -- везде и всюду ctstate НЕВЕРНЫЕ флаги tcp: FIN, PSH, URG/FIN, PSH, URG
DROP tcp -- в любом месте ctstate НЕВЕРНЫЕ флаги tcp: FIN, SYN, RST, PSH, ACK, URG/FIN, SYN, RST, PSH, ACK, URG
DROP tcp -- в любом месте ctstate INVALID флаги tcp: FIN, SYN, RST, PSH, ACK, URG/NONE
DROP tcp -- в любом месте ctstate INVALID tcp flags:SYN,RST/SYN,RST
УДАЛИТЬ все -- в любом месте в любом месте PKTTYPE = широковещательный
ПРИНЯТЬ все -- где угодно и где угодно ctstate СВЯЗАННО, УСТАНОВЛЕНО
LOG all -- в любом месте в любом месте Предупреждение об уровне LOG

Цепочка FORWARD (политика DROP)
целевая защита выбор источника назначения         
LOG all -- в любом месте в любом месте Предупреждение об уровне LOG

Цепочка OUTPUT (политика DROP)
целевая защита выбор источника назначения         
ПРИНИМАЙТЕ все -- где угодно и где угодно ! ctstate НЕДЕЙСТВИТЕЛЬНО

Однако после перезагрузки у меня, как и раньше, не было доступа в Интернет, поэтому я перепроверил правила, и они выглядели так:

Цепь INPUT (политика DROP)
целевая защита выбор источника назначения         
УДАЛИТЬ все -- в любом месте в любом месте            
УДАЛИТЬ все -- в любом месте в любом месте            
ПРИНИМАТЬ все -- в любом месте в любом месте            
ПРИНЯТЬ все -- в любом месте в любом месте PKTTYPE = многоадресная рассылка
DROP tcp -- везде и всюду ctstate НЕВЕРНЫЕ флаги tcp: FIN, PSH, URG/FIN, PSH, URG
DROP tcp -- в любом месте ctstate НЕВЕРНЫЕ флаги tcp: FIN, SYN, RST, PSH, ACK, URG/FIN, SYN, RST, PSH, ACK, URG
DROP tcp -- в любом месте ctstate INVALID флаги tcp: FIN, SYN, RST, PSH, ACK, URG/NONE
DROP tcp -- в любом месте ctstate INVALID tcp flags:SYN,RST/SYN,RST
УДАЛИТЬ все -- в любом месте в любом месте PKTTYPE = широковещательный
ПРИНЯТЬ все -- где угодно и где угодно ctstate СВЯЗАННО, УСТАНОВЛЕНО
LOG all -- в любом месте в любом месте Предупреждение об уровне LOG

Цепочка FORWARD (политика DROP)
целевая защита выбор источника назначения         
LOG all -- в любом месте в любом месте Предупреждение об уровне LOG

Цепочка OUTPUT (политика DROP)
целевая защита выбор источника назначения         
УДАЛИТЬ все -- в любом месте в любом месте            
УДАЛИТЬ все -- в любом месте в любом месте            
ПРИНИМАЙТЕ все -- где угодно и где угодно ! ctstate НЕДЕЙСТВИТЕЛЬНО

Без видимой причины были еще раз правила, которые отбрасывают каждый пакет

iptables-восстановление по крайней мере восстанавливает набор правил, которые я взял в Интернете, что намного лучше, чем ничего (поэтому я буду использовать это вместо полной очистки, как я делал раньше), но кто-нибудь знает, почему мой ноутбук сбросил все по умолчанию и как исправить это?

PS: Кроме того, если бы у вас были какие-либо советы о том, как я мог бы точно настроить этот набор правил, я был бы очень признателен, поскольку наличие надежного брандмауэра немаловажно.

PPS: я на Ubuntu 20.04, если это имеет значение.

64
0 + 0
VCD
Рейтинг:1
Caztan avatar Ubuntu
флаг fr
Caztan

Что ж, проблема, кажется, была устранена недавним обновлением iptables-persistent, но я даже не уверен. Я просто хотел сказать, что теперь все вернулось в норму.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.