No, přišel jsem na to. A je to blbost.
CentOS 8 používá nftables, což samo o sobě není překvapivé. Dodává se s nft verze iptables příkazy, což znamená, že když použijete iptables příkaz ve skutečnosti udržuje sadu tabulek kompatibility v nftables.
Nicméně...
Firewalld – který je nainstalován ve výchozím nastavení – má nativní podpora pro nftables, takže nevyužívá vrstvu kompatibility iptables.
Takže zatímco iptables -S INPUT vám ukáže:
# iptables -S INPUT
-P INPUT ACCEPT
Co ve skutečnosti mít je:
chain filter_INPUT {
type filter hook input priority 10; policy accept;
ct state established,related accept
iifname "lo" accept
jump filter_INPUT_ZONES_SOURCE
jump filter_INPUT_ZONES
ct state invalid drop
reject with icmpx type admin-prohibited <-- HEY LOOK AT THAT!
}
Zde je řešení (a upřímně asi dobrá rada obecně):
systemctl disable --now firewalld
S firewallem mimo cestu jsou pravidla iptables viditelná s iptables -S se bude chovat podle očekávání.
Jak v praxi demonstruji typ komprese jádra?
Bash skript, který ukazuje měnící se hodnoty v reálném čase z příkazů