Author Topic: Firewall - First INPUT rule is ACCEPT?  (Read 1579 times)

nickpiggott

  • Zen Apprentice
  • *
  • Posts: 23
  • Karma: +8/-0
    • View Profile
Firewall - First INPUT rule is ACCEPT?
« on: March 21, 2016, 07:39:58 pm »
I noticed my INPUT iptables has the first rule as ACCEPT. I'm not an iptables guru, but doesn't that mean that all INPUT packets are immediately accepted and all the rules that follow (preinput, idrop etc) are ignored and therefore pointless?

Code: [Select]
Chain INPUT (policy DROP)                                                                                                                                                                                                           
target     prot opt source               destination                                                                                                                                                                                 
ACCEPT     all  --  anywhere             anywhere                                                                                                                                                                                   
preinput   all  --  anywhere             anywhere                                                                                                                                                                                   
idrop      all  --  anywhere             anywhere             state INVALID                                                                                                                                                         
iaccept    all  --  anywhere             anywhere             state RELATED,ESTABLISHED                                                                                                                                             
inospoof   all  --  anywhere             anywhere                                                                                                                                                                                   
iexternalmodules  all  --  anywhere             anywhere                                                                                                                                                                             
iexternal  all  --  anywhere             anywhere                                                                                                                                                                                   
inoexternal  all  --  anywhere             anywhere                                                                                                                                                                                 
imodules   all  --  anywhere             anywhere                                                                                                                                                                                   
iglobal    all  --  anywhere             anywhere                                                                                                                                                                                   
iaccept    icmp !f  anywhere             anywhere             icmp echo-request state NEW                                                                                                                                           
iaccept    icmp !f  anywhere             anywhere             icmp echo-reply state NEW                                                                                                                                             
iaccept    icmp !f  anywhere             anywhere             icmp destination-unreachable state NEW                                                                                                                                 
iaccept    icmp !f  anywhere             anywhere             icmp source-quench state NEW                                                                                                                                           
iaccept    icmp !f  anywhere             anywhere             icmp time-exceeded state NEW                                                                                                                                           
iaccept    icmp !f  anywhere             anywhere             icmp parameter-problem state NEW                                                                                                                                       
idrop      all  --  anywhere             anywhere                     

nickpiggott

  • Zen Apprentice
  • *
  • Posts: 23
  • Karma: +8/-0
    • View Profile
Re: Firewall - First INPUT rule is ACCEPT?
« Reply #1 on: March 22, 2016, 12:46:23 am »
Ignore that message. I've realised the ACCEPT is only on the "lo"cal interface, which is completely reasonable.

I just need to jump back in and find why my iptables aren't working the way I am expecting to them to.