У меня есть домашняя сеть и машина Ubuntu, выступающая в роли моста. Домашняя сеть имеет диапазон IP 192.168.1.x. Интерфейс eth0 мостовой машины, подключенной к Интернету. eth1 и wlan2 подключены к домашней сети.

У меня есть следующий набор правил Iptable:

 *filter
 :INPUT DROP [8215:416305]
 -I INPUT -p tcp --dport 53 -j ACCEPT
 -I INPUT -p udp --dport 53 -j ACCEPT

 :FORWARD DROP [7:840]
 :OUTPUT ACCEPT [491625:112606364]
 -A INPUT -i wlan2 -j ACCEPT
 -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
 -A INPUT -i eth0 -p tcp -m tcp -j REJECT --reject-with tcp-reset
 -A INPUT -i eth0 -m state --state INVALID,NEW -j DROP
 -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
 -A INPUT -s 127.0.0.1 -d 10.176.128.1 -j REJECT

 -A FORWARD -i wlan2 -j ACCEPT
 -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
 COMMIT
 *mangle
 :PREROUTING ACCEPT [321559:236814105]
 :INPUT ACCEPT [295343:232451823]
 :FORWARD ACCEPT [27130:5384293]
 :OUTPUT ACCEPT [491625:112606364]
 :POSTROUTING ACCEPT [522195:118153702]
 COMMIT

К сожалению, вывод iptables -L показывает следующее:

 Chain INPUT (policy DROP)
 target     prot opt source               destination
 ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
 ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
 ACCEPT     all  --  anywhere             anywhere
 ACCEPT     all  --  anywhere             anywhere
 ACCEPT     all  --  anywhere             anywhere
 ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
 REJECT     tcp  --  anywhere             anywhere             tcp reject-with tcp-reset
 DROP       all  --  anywhere             anywhere             state INVALID,NEW
 ACCEPT     all  --  127.0.0.1            127.0.0.1
 REJECT     all  --  127.0.0.1            10.176.128.1         reject-with icmp-port-unreachable

 Chain FORWARD (policy DROP)
 target     prot opt source               destination
 ACCEPT     all  --  anywhere             anywhere
 ACCEPT     all  --  anywhere             anywhere
 ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

 Chain OUTPUT (policy ACCEPT)
 target     prot opt source               destination

Я не понимаю, почему я вижу

 ACCEPT     all  --  anywhere             anywhere

и почему моя внутренняя сеть может испытать DOS-атаку из Интернета.

Какие-либо предложения?

0