Не все, кто знаком с ip-таблицами, но читали об этом немного прошлой ночью. Я хочу убедиться, что у меня есть правильное понимание для следующего:
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [133192838:21711893784]
-A INPUT -s 192.168.10.0/24 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
Я считаю, что это все, что принимается из источника 192.168.10. * (24 означает 0-255) для связанных / установленных соединений. Все icmp, все localhost (lo) и, наконец, TCP на порту 22. Если он не соответствует вышеуказанному, он отклоняется. Я смотрю на это правильно?
Помимо этого, есть брандмауэр NAT, который, как я знаю, настроен правильно, так что эти правила таблицы ip являются своего рода «вторым этапом», если хотите, но я все же хочу правильно понять вышесказанное.
Я спрашиваю, потому что я планирую разрешить порт 3306 для конкретного IP (доступ к БД удаленно). Я верю, наряду с новым правилом для брандмауэра NAT, конечно, что здесь мне также понадобится правило. Для этого похоже, что это сделает работу:
-I INPUT 6 -p tcp -s 100.100.100.100/32 --dport 3306 -j ACCEPT
где 100.100.100.100 - это ip (32 только для этого ip) на порту 3306 для tcp. Добавлено в строке 6 (ниже правила порта 22).
Может ли кто-нибудь здесь дать лучшее объяснение, и если мой мыслительный процесс подходит для правил и правил, которые я планирую добавить?