Iptables trava ao listar as regras

Navegue suas respostas
5

Se eu fizer iptables -L para listar todas as regras no iptables, ele irá aleatoriamente travar em endereços IP diferentes antes de continuar imprimindo a lista. Ele trava por alguns segundos e em endereços IP diferentes a cada vez. Minhas regras gerais estão listadas abaixo. então eu tenho um par de IPs locais e alguns IPs remotos que são permitidos. Existe uma regra que eu esqueci sobre as pesquisas? 

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     udp  --  anywhere             anywhere            udp dpt:25
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
    
por Andrew 02.07.2011 / 16:28

1 resposta

10

O comando iptables tentará uma pesquisa inversa nos endereços IP. Isso produzirá exatamente o comportamento que você descreve. Você pode inibir a pesquisa inversa com o -n flag, e é por isso que eu sempre listo regras como esta: 

iptables -vnL

Este fato e muitos outros detalhes úteis podem ser encontrados na página iptables man. A seção relevante referente a -n diz: 

-L, --list [chain]
List all rules in the selected chain. If no chain is selected, all chains
are listed. Like every other iptables command, it applies to the specified
table (filter is the default), so NAT rules get listed by

  iptables -t nat -n -L

Please note that it is often used with the -n option, in order to avoid
long reverse DNS lookups. It is legal to specify the -Z (zero) option as
well, in which case the chain(s) will be atomically listed and zeroed. The
exact output is affected by the other arguments given. The exact rules are
suppressed until you use

  iptables -L -v
    
por 02.07.2011 / 16:33

Tags

Nearline SAS nos controladores SATA procurando por servidor de autenticação de fator opensource 2 [fechado]