Temat: Barrier Breaker, uszkodzony iptables?
Tak sobie sprawdzałem regułki w iptables po wgraniu r42258 i ze zdumieniem stwierdziłem, że coś mi nie gra na filtrze. Najpierw odnotowałem 0 pakietów na regule z ESTABLISHED,RELATED w łańcuchu forward -- żadne pakiety tam nie trafiają, a mimo to komunikacja jest możliwa i odbywa się bez przeszkód. Dodaje przy tym smaku fakt, że domyślna polityka na łańcuchu FORWARD jest DROP.
Jakim cudem to działa to ja nie wiem.
Zrobiłem test i wywaliłem całą zawartość łąńcucha FORWARD -- efekt jest taki jak oczekiwany, czyli komunikacja zdycha. Dodałem zatem do tego łańcucha tylko dwie regułki:
iptables -t filter -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD -i br-lan -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPTPakiety zaczynają płynąć i stronki się ładują ale na zaporze mam taki log:
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
26 1584 ACCEPT all -- br-lan * 192.168.1.0/24 0.0.0.0/0 ctstate NEWWTF? ![]()
No to wywaliłem mu tę pierwszą regułkę, skoro i tak pakiety tam nie lecą i sprawdziłem inną stronkę i .... załadowała się, Jakim cudem, przecie ta druga reguła akceptuje tylko pakiety w stanie new. Co ciekawsze, pakiety nie są łapane przez domyślną politykę łańcucha, zatem muszą być wszystkie pakiety dopasowane do tego cstate NEW tyle, że licznik pokazuje 26 pakietów a każde załadowanie pojedyńczej strony powinno nabić ich ze 100, a tu załadowałem już stron kilka i tylko 26 pakietów?
To samo jest w łańcuchu INPUT na routerze, pakiety nie lecą do reguły z ESTABLISHED, RELATED
Sprawdziłem też ten wbudowany filter ale nawet tam pakiety nie wędrują do żadnej z tych 3 reguł ctstate RELATED,ESTABLISHED -- mają liczniki wskazujące 0.
To jakaś znana przypadłość? Może ktoś to sprawdzić u siebie?