Вопрос: Iptables зависает при перечислении правил


Если я сделаю iptables -L, чтобы перечислить все правила в iptables, он будет случайно зависать на разных IP-адресах, прежде чем продолжать печатать список. Он зависает в течение нескольких секунд и при разных IP-адресах каждый раз. Мои общие правила перечислены ниже. то у меня есть пара локальных IP-адресов и несколько удаленных IP-адресов, которые разрешены. Есть ли правило, которое я забыл относительно поиска?

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     udp  --  anywhere             anywhere            udp dpt:25
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

5
2017-07-02 14:28


Источник




Ответы:


iptables команда попытается выполнить обратный поиск по IP-адресам. Это приведет к точному описанию поведения. Вы можете запретить обратный поиск с помощью -n флаг, поэтому я всегда перечисляю такие правила:

iptables -vnL

Этот факт и многие другие полезные лакомые кусочки можно найти в iptables справочная страница. Соответствующий раздел, касающийся -n гласит:

-L, --list [chain]
List all rules in the selected chain. If no chain is selected, all chains
are listed. Like every other iptables command, it applies to the specified
table (filter is the default), so NAT rules get listed by

  iptables -t nat -n -L

Please note that it is often used with the -n option, in order to avoid
long reverse DNS lookups. It is legal to specify the -Z (zero) option as
well, in which case the chain(s) will be atomically listed and zeroed. The
exact output is affected by the other arguments given. The exact rules are
suppressed until you use

  iptables -L -v

10
2017-07-02 14:33



Это сделал трюк для листинга, спасибо. Вы знаете, если этот обратный поиск происходит, когда кто-то пытается подключиться, или компьютеры подключаются друг к другу локально? была бы случайная задержка, если вы сделаете что-то вроде запроса веб-страницы с веб-сервера? - Andrew
Насколько мне известно, фактическая сторона ядра не заботится о DNS и не будет делать обратного поиска. Это просто «удобная для пользователя» функция пользовательских инструментов. - larsks
Не подумал бы об этом сам в течение очень долгого времени. Спасибо. - James M. Lay