grumbler_eburg
DD-WRT Novice
Joined: 14 Mar 2012
Posts: 14
|
 Posted: Sat Mar 17, 2012 20:27 Post subject: Что есть SPI filter |
 |
Пытаюсь понять, что означает 'SPI filter'. На первый взгляд это политика фильтрации:
- SPI выключен - всё разрешено, кое-что запрещено;
- SPI включен - всё запрещено, некоторое разрешено.
Вот diff правил (вывод iptables перед генерацией диффа обрабатывался командой sed '/^[1-9]/s/^[ 0-9KM]* //;s/^num pkts bytes //;s/83[.0-9]*/*.*.*.*/;s/ *$//', в SPI firewall включены трансляции VPN, разрешены мультикасты и пинги):
| Code: |
--- /tmp/filter.original 2012-03-18 01:55:58.000000000 +0600
+++ /tmp/filter.SPI 2012-03-18 02:03:16.000000000 +0600
@@ -1,19 +1,26 @@
root@kam-lit-gw2:~# iptables -v -L -n -t filter --line-numbers
-Chain INPUT (policy ACCEPT 28784 packets, 4954K bytes)
+Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
target prot opt in out source destination
ACCEPT 0 -- oet1 * 0.0.0.0/0 0.0.0.0/0
ACCEPT 97 -- * * *.*.*.* 0.0.0.0/0
-DROP tcp -- vlan1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
-DROP tcp -- vlan1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
-DROP tcp -- vlan1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
-DROP tcp -- vlan1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:69
-DROP tcp -- vlan1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
-DROP tcp -- vlan1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
+ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
+DROP udp -- vlan1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:520
+DROP udp -- br0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:520
+ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:520
+logaccept tcp -- * * 0.0.0.0/0 192.168.20.129 tcp dpt:122
+ACCEPT icmp -- vlan1 * 0.0.0.0/0 0.0.0.0/0
+ACCEPT 2 -- * * 0.0.0.0/0 0.0.0.0/0
+ACCEPT 0 -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
+logaccept 0 -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
+ACCEPT 0 -- oet1 * 0.0.0.0/0 0.0.0.0/0
+DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0
-Chain FORWARD (policy ACCEPT 6 packets, 240 bytes)
+Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
target prot opt in out source destination
ACCEPT 0 -- * oet1 0.0.0.0/0 0.0.0.0/0
ACCEPT 0 -- oet1 * 0.0.0.0/0 0.0.0.0/0
+ACCEPT 47 -- * vlan1 192.168.20.128/26 0.0.0.0/0
+ACCEPT tcp -- * vlan1 192.168.20.128/26 0.0.0.0/0 tcp dpt:1723
ACCEPT 0 -- oet1 * 0.0.0.0/0 0.0.0.0/0
ACCEPT 0 -- br0 br0 0.0.0.0/0 0.0.0.0/0
TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
@@ -25,8 +32,9 @@
TRIGGER 0 -- vlan1 br0 0.0.0.0/0 0.0.0.0/0 TRIGGER type:in match:0 relate:0
trigger_out 0 -- br0 * 0.0.0.0/0 0.0.0.0/0
ACCEPT 0 -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
+DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0
-Chain OUTPUT (policy ACCEPT 28124 packets, 5979K bytes)
+Chain OUTPUT (policy ACCEPT 10 packets, 1920 bytes)
target prot opt in out source destination
Chain advgrp_1 (0 references)
@@ -92,7 +100,7 @@
Chain lan2wan (1 references)
target prot opt in out source destination
-Chain logaccept (0 references)
+Chain logaccept (2 references)
target prot opt in out source destination
ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0
|
|
|
