¿Qué significa un iptables vacío?

17

Estoy usando CentOS y cuando escribo el siguiente iptablescomando:

iptables -L -v

La salida es la siguiente:

Chain INPUT (policy ACCEPT 19614 packets, 2312K bytes)  pkts bytes target     prot opt in     out     source               destination   

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)  pkts bytes target    prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 13881 packets, 32M bytes)  pkts bytes target     prot opt in     out     source               destination

¿Qué significa esto? Puedo conectarme usando SSH. ¿Dónde puedo ver esa regla?

Memochipan
fuente

Respuestas:

20

Las iptablesreglas vacías simplemente significan que no tienes reglas. No tener reglas significa que la tabla "política" controla lo que sucede con cada paquete que atraviesa esa tabla. El policy ACCEPTen cada tabla significa que todos los paquetes están permitidos a través de cada tabla. Por lo tanto, no tiene un firewall activo.

Fran
fuente
No para ser un seleccionador de lo que es una publicación de preguntas y respuestas bastante simple, pero no policy ACCEPTpuede considerarse una regla en sí misma. Sí, bloquea el 100% de la nada y no filtra el tráfico, pero aún así es una regla en el contexto del iptablescomportamiento operativo.
JakeGould
1
@JakeGould Claro, eso tiene sentido. Aún así, iptablesutiliza dos términos distintos, regla y política , y estaba tratando de mantener la terminología de la herramienta.
Fran
4

No tienes ninguna regla establecida. Eche un vistazo al siguiente iptablestutorial sobre cómo agregar sus reglas .

Puede agregar su regla SSH de esta manera, lo que permitirá que todos los SSH pasen por el Puerto 22:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT     
Pablo
fuente
Gracias, tal vez no estaba claro. Me sorprende que cómo puedo conectarme usando SSH si aún no tengo ninguna regla. ¿Qué significa mesa vacía? ¿Permitir todas las conexiones o qué?
Memochipan
@Memochipan Observe cómo la lista contiene la política: "política ACEPTAR" -> esa es la regla predeterminada, que en este caso es aceptar todo el tráfico. Sus iptables están efectivamente deshabilitados como firewall sin ninguna regla para bloquear el tráfico.
Darth Android
2
@Memochipan Sí, este es un hilo viejo, pero la analogía simple es que tienes una puerta con cerradura, pero nadie está cerrando la puerta. Entonces, si iptablesestá instalado, tiene el potencial de configurar reglas. Pero si no hay reglas, no hay nada, la puerta no está cerrada y todos pueden atravesarla.
JakeGould
0

Encontré esta pregunta cuando me pregunté por qué iptables-save apareció vacío. Entonces, aunque no es una respuesta para el OP, pensé en dejar esto aquí :)

Resulta que iptables-save necesita los módulos iptable_filter (y / o iptable_nat) cargados.

root@mgmt:~# iptables-save 
root@mgmt:~# modprobe iptable_filter
root@mgmt:~# iptables-save 
# Generated by iptables-save v1.6.0 on Fri Aug  4 09:21:14 2017
*filter
:INPUT ACCEPT [7:488]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:424]
COMMIT
# Completed on Fri Aug  4 09:21:14 2017

Esto es importante cuando intenta una prueba 'segura' de algunas reglas nuevas:

iptables-save > /tmp/ipt.good; (sleep 60; iptables-restore < /tmp/ipt.good) & iptables-restore < iptables.rules.test
lbt
fuente