ראיתי מספר סקריפטים ואני עגיין בשלבי דיבוג של הסקריפט שלי...
אם defualt policy של החוקים היא drop יש מצב שאצטרך עוד חוקים עם DROP עליהם ?
עד כמה שאני יודע דיפולט של DROP אומר שכל המנות יפלו חוץ מהמנות שאני אאפשר! אזי אני לא רואה סיב להוסיף חוק כמו

קוד:

iptables -A INPUT -i ppp+ -p tcp -f -j DROP

בגלל שהוא יחול באופן אוטומטי...

עוד שאלה זה אם במקרה כזה עשיתי חוקים עבור PPP+ אבל לא עבור ETH1 (שמחובר למודם)
האם לא יעבוד שום דבר, כי באופן דיפולטי כל מנה שתגיעה מ ETH1 תפול...
(לא ניראה לי כי IPTABLES תראה את המנה כאילו באה מPPP ואם יש חוק שקבל אותה היא תיכנס אוטומטית... IPTABLES לא תתערב בניתוב...)

הסיבה שתצטרך חוקי DROP אפילו שה- default policy היא DROP, היא כדי להגביל את תחומם של חוקי ACCEPT. למשל אם יש לך כלל שמקבל כל דבר שהוא RELATED,ESTABLISHED אולי תרצה למנוע ספציפית דברים מסויימים להגיע בכל מקרה.
כמו כן, בדרך כלל מקובל ליצור שרשרת logdrop שעושה LOG ואז DROP. במקרה כזה, תרצה לבצע DROP ללא LOG לחבילות זבל שמגיעות בכמויות (וירוסים, SMB, וכו').

שמע זה בדיוק הערה שרציתי לכתוב ליפני זה.... חשבתי כבר על הגדרת חוקים מגבילים לחוקים קיימים, אבל זה לא הגיוני לי כלכך
למה ? כי תנסה את הקוד הבא:

קוד:

iptables -A output -i eth0 -s 10.0.0.0/24  -dport 8080 -j DROP iptables -A output -i eth0 -s 10.0.0.0/24  -dport 8080 -j ACCPET

לא משנה למה, זו רק הדגמה...
אני יכול להבטיח לך שמנת IP שעונה לכלל אחד של הקוד הנ"ל לא תעבור למרות שכן אפשרתה אותה בחוק השני.... ברגע שמנה מצאה התאמה IPFILTER לא תמשיך לחפש הלאה.....
אלא תשלח אותה למטרה (DROP) מהרגע שהיא "נפלה" היא לק קיימת יותר...

בשרשראות מוגדרות אישית (-N) המצב לא כזה מן הסתם וגם לא ב LOG
השאלה אם זה המצב עבור ACCEPT,
האם זה המצב? מנה שנמצאה מתאימה ע"י חוק ונשלחה לACCEPT ממשיכה לרוץ דרך החוקים ?
האם:

קוד:

iptables -A output -i eth0 -s 10.0.0.0/24  -dport 8080 -j ACCEPT iptables -A output -i eth0 -s 10.0.0.0/24  -dport 8080 -j DROP

יפיל את המנה ?

אני חושב שזו שאלה די עניינית :-/

someone outthere may know ?