关于INPUT DROP的怪事,有相关经验的人进来看下

gdgnzl

我从前用过INPUT DROP这条规则

                               
登录/注册后可看大图

                               
登录/注册后可看大图

                               
登录/注册后可看大图

用了半年来一直都好好的，可以同时实现禁PING，指定IP登陆，一定程度上抗DDOS和SYN（虽然说是一定程度，但真没因为攻击掉过一次）

这次路由器当掉了（网卡KO```）换了一台双核的机器，可妈的一用这次规则就所有机子掉线

从前都好好的，到底怎么了？

DROP掉是INPUT 不是NAT转发。这应该没有问题。在LINUX下用IPTABLES -P INPUT DROP 一样可以照常上网的

还正好想写一篇关于简约防火墙感想的```唉，谁能解答一下？

gdgnzl

光有人看，没人理，bbs.router.net.cn是这样，这边也是这样``唉

seignior

没有回应是因为别人也在迷惑中，例如我。你描述的问题此前已被观察到，但还没有找到绝对可信的理据，所以暂时只能当作有待观察的现象等待其他信息证实。你总不希望别人未经考虑胡乱吹牛应答吧。

专卖精品

有这条应该会造成无法和网关通信，造成无法上网！

所以，楼主肯定是那种“知其然，不知其所以然”的人

gdgnzl

楼上说的很肯定，但一样没有回答到我的疑问

要是不能和网关通信，为什么我从前可以用。反而我倒不是按你的方法去理解这条规则，虽然我没有你高手

这条规则网上也早已经有流传，也不止我一个人用。更何况我从前也有用过。这也不能说明问题吗？

gdgnzl

原帖由 seignior 于 2007-5-10 23:36 发表

                               
登录/注册后可看大图

没有回应是因为别人也在迷惑中，例如我。你描述的问题此前已被观察到，但还没有找到绝对可信的理据，所以暂时只能当作有待观察的现象等待其他信息证实。你总不希望别人未经考虑胡乱吹牛应答吧。

不好意思，急燥了一点，因为这两天被人攻击得烦了```现在暂时还在用ip--firewall--filter rules(input) +drop src.address=0.0.0.0/0 interface=LAN dst.address=0.0.0.0/0 protocol=UDP   connection State=new
这个规则顶着```

麻烦你费心了

网络-浪子

为什么不指定interface?

seignior

之前观察过forward和input的差别，的确有些迷惑。
在部分版本，对于流过ros的报文，forward是可行的，但在另一些版本(或者和版本无关，可能和设备有关，例如顶楼提到的双核cpu)，就只能用input。
而一般而言，似乎input且指定interface外网(7楼才是对的)，的确不影响nat，似乎又可以由此推断input仅仅指对ros自身的连接而不是nat的转发。
反正当前有些迷糊。

seignior

2.9.27非常稳定，至少我这里已经又很多应用.....

gdgnzl

那暂时只能换低版本的试试了，楼上的能告诉我一下比ROS2.927版本低一点的其它版本吗？

我原来那个我记不太清楚了，先谢谢了~！

seignior

2.9.7,2.9.6都可用，2.8.x我就忘记了，也没问题。
我倒是有些奇怪，各种应用环境、各种规模、各种版本我都用过，都没发生什么意外的事情，但依然老是有人说这个版本如何那个版本如何........

gdgnzl

我觉得正是因为如此有时候我们看到老外一些夸张的设备

心里在想,哇,有必要吗?

其实和浪费还是有些区别的,如果我们的硬件和软件也如此的规范化

也许很多看似奇妙的问题根本就不会出现吧

网络-浪子

区别是不是低版本的ROS如果不指定 interface 那就默认为无(其实这条规则无效),而高版本会默认为all interface,所以把客户机对网关的通讯也给
DROP了?

专卖精品

楼主说以前可以，关键是以前这条是放在哪个位置

你仅仅说这条有问题没有意义，要整体的看规则

2。9系列的这条规则就是指所有端口进入路由器的数据都被DROP，所以，如果防火墙的第一条是这个的话，你连ROS都进不了，除非用控制台进去后把这条删除

专卖精品

从最后一个图片就可以看到上面那条就是允许192。168。0。13的源地址数据包进入路由器，其他的包都被下一条DROP了，所以，不能排除上面还有什么规则，从图片上看，这个DROP的规则是最后一条，所以，上面有哪些特立的规则我们并不知道，而楼主仅仅拿这条出来问问题，没有任何意义

[ 本帖最后由 专卖精品 于 2007-5-11 02:18 编辑 ]