Bug 1110 - в /etc/init.d/iptables не учитываются цепочки nat и mangle
Summary: в /etc/init.d/iptables не учитываются цепочки nat и mangle
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: iptables (show other bugs)
Version: unstable
Hardware: all Linux
: P4 enhancement
Assignee: Nobody's working on this, feel free to take it
QA Contact:
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2002-07-16 19:46 MSD by Igor Muratov
Modified: 2003-08-25 15:18 MSD (History)
3 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Igor Muratov 2002-07-16 19:46:34 MSD 
service iptables save сохраняет данные из всех таблиц, а вот service iptables stop не чистит nat и mangle. То же самое и с service iptables status - показывает только filter
---

---
Comment 1 Dmitry Lebkov 2002-11-25 05:16:27 MSK 
По поводу service iptables stop - это даже не feature, а достаточно неприятный баг. По логике, после servicve iptables stop доступ хостам, пользующим NAT должен быть перекрыт. А в результате, он не только не перекрывается, но еще и разрешается всем (в том случае, когда в NAT-таблице есть одно/два общих правил трансляции, а доступ ограничивается через filter-таблицу FORWARD). Т.е. кто отмаршрутизируется через данный хост - свободно уйдет в Cеть, потому как после stop все правила сбрасываются в default state  (ACCEPT) - а это уже проблемы с security.
Comment 2 Dmitry Lebkov 2002-11-25 05:16:27 MSK 
По поводу service iptables stop - это даже не feature, а достаточно неприятный баг. По логике, после servicve iptables stop доступ хостам, пользующим NAT должен быть перекрыт. А в результате, он не только не перекрывается, но еще и разрешается всем (в том случае, когда в NAT-таблице есть одно/два общих правил трансляции, а доступ ограничивается через filter-таблицу FORWARD). Т.е. кто отмаршрутизируется через данный хост - свободно уйдет в Cеть, потому как после stop все правила сбрасываются в default state  (ACCEPT) - а это уже проблемы с security.
Comment 3 Bug Reporter 2003-01-08 22:11:22 MSK 
Fixed in new iptables
Comment 4 Bug Reporter 2003-01-08 22:11:22 MSK 
Fixed in new iptables