Isso é o que eu especifiquei como uma regra padrão no meu script de firewall do iptables:
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
Eu tenho muitas interfaces e muitas redes e NAT onde o tráfego deve ser encaminhado, então eu fiz FORWARD ACCEPT como regra padrão. E depois eu tenho isso:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 2.4.5.6
E no final eu tenho isso:
iptables -A INPUT -i eth0 -j DROP
Esta regra DROP deve eliminar apenas os pacotes direcionados ao host do gateway. Seja qual for o tráfego que entra no via eth0 para ser forwared não deve ser afetado.
Minha pergunta é, se eu tiver uma regra INPUT DROP para uma interface, se ela afetará as cadeias FORWARD na mesma interface (ou a cadeia FORWARD ACCEPT global)?
Não deve haver nenhum problema porque a regra de cadeia INPUT é aplicada quando "O pacote será entregue localmente. A entrega local é controlada pela tabela de roteamento" entrega local ": ip route show table local " e
A cadeia FORWARD é aplicada em pacotes que foram roteados e, portanto, os pacotes que não são para entrega local atravessarão essa cadeia.
Portanto, a regra da cadeia INPUT não deve afetar a regra da cadeia FORWARD.
Tags iptables firewall forwarding