iptables: tại sao các kết nối gửi đi vẫn hoạt động mặc dù không có quy tắc nào cho phép

Các chính sách chuỗi INPUT và OUTPUT được đặt thành DROP. Rất ít quy tắc chỉ cho phép lưu lượng truy cập cụ thể giữa các thiết bị được kết nối trực tiếp bằng cáp. Tuy nhiên, nếu tôi tạm thời thêm cáp đi vào bộ định tuyến, tại sao tôi có thể bắt đầu các kết nối gửi đi và nhận được câu trả lời, chẳng hạn như cập nhật apt, mặc dù không có quy tắc nào cho phép lưu lượng truy cập HTTP vào bên ngoài của chúng tôi?

Tôi đã nhận thấy rằng nếu tôi thêm iptables -P FORWARD DROP thì các kết nối gửi đi đó không hoạt động nữa. Tại sao chuỗi FORWARD có bất kỳ tác động nào trong việc này?

mâm xôi:~ $ Sudo iptables -nvL
Chuỗi INPUT (chính sách DROP 332 gói, 244K byte)
 pkts byte đích prot chọn không tham gia đích nguồn         
    0 0 CHẤP NHẬN tất cả -- lo * 0.0.0.0/0 0.0.0.0/0           
 1254 79084 CHẤP NHẬN tcp -- * * 66.66.66.5 66.66.66.3 tcp dpt:21385 ctstate MỚI, ĐƯỢC THÀNH LẬP
 1453 2495K CHẤP NHẬN tất cả -- * * 0.0.0.0/0 0.0.0.0/0 ctstate LIÊN QUAN, THÀNH LẬP

Chuỗi FORWARD (chính sách CHẤP NHẬN 0 gói, 0 byte)
 pkts byte đích prot chọn không tham gia đích nguồn         

OUTPUT chuỗi (chính sách DROP 373 gói, 47731 byte)
 pkts byte đích prot chọn không tham gia đích nguồn         
 1715 162K CHẤP NHẬN tcp -- * * 99.99.99.3 99.99.99.2 tcp dpt:5656
    6 456 CHẤP NHẬN udp -- * * 99.99.99.3 99.99.99.2 udp dpt:123
  952 156K CHẤP NHẬN tất cả -- * * 0.0.0.0/0 0.0.0.0/0 ctstate LIÊN QUAN, THÀNH LẬP

Câu hỏi phụ: Có bất kỳ rủi ro nào khi sử dụng các địa chỉ IP dễ nhận biết đó giữa các thiết bị kết nối cáp nội bộ và trực tiếp của tôi không? Các gói có thể bị rò rỉ vì đó là những địa chỉ công khai hợp lệ không?

CHỈNH SỬA: thêm thông tin được yêu cầu.

Chúng ta đang nói về thiết bị "Raspi Client".

đầu ra của iptables-save:

raspberrypi:~ $ Sudo iptables-save
# Được tạo bởi xtables-save v1.8.2 vào Thứ Tư ngày 19 tháng 1 10:42:58 năm 2022
* tự nhiên
:CHẤP NHẬN TRƯỚC [529:48304]
:CHẤP NHẬN ĐẦU VÀO [7:420]
:CHẤP NHẬN SAU [2465:187164]
:CHẤP NHẬN ĐẦU RA [2804:242065]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MẶT MẠO
-ĐẦU RA! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A DOCKER -i docker0 -j TRẢ LẠI
LÀM
# Hoàn thành vào Thứ 4 ngày 19 tháng 1 10:42:58 2022
# Được tạo bởi xtables-save v1.8.2 vào Thứ Tư ngày 19 tháng 1 10:42:58 năm 2022
*lọc
:INPUT DROP [607:267621]
:CHẤP NHẬN TRƯỚC [0:0]
:OUTPUT DROP [394:50896]
-A INPUT -i lo -j CHẤP NHẬN
-A INPUT -s 66.66.66.5/32 -d 66.66.66.3/32 -p tcp -m tcp --dport 21385 -m conntrack --ctstate MỚI, ĐƯỢC THÀNH LẬP -j CHẤP NHẬN
-A INPUT -m conntrack --ctstate LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
-A OUTPUT -s 99.99.99.3/32 -d 99.99.99.2/32 -p tcp -m tcp --dport 5656 -j CHẤP NHẬN
-A OUTPUT -s 99.99.99.3/32 -d 99.99.99.2/32 -p udp -m udp --dport 123 -j CHẤP NHẬN
-A OUTPUT -m conntrack --ctstate LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
LÀM
# Hoàn thành vào Thứ 4 ngày 19 tháng 1 10:42:58 2022

ĐẦU VÀO và ĐẦU RA chuỗi bao gồm giao tiếp trong đó nguồn hoặc đích của lưu lượng truy cập là chính bộ định tuyến.

PHÍA TRƯỚC bao gồm lưu lượng mà bộ định tuyến chuyển tiếp từ giao diện này sang giao diện khác (từ cổng LAN sang cổng WAN và ngược lại.