Назад | Перейти на главную страницу

nftables - одна машина не может получить доступ к серверу

Я работаю над настройкой брандмауэра на своем сервере прямо сейчас, и это сводит меня с ума. Я использую nftables и имею следующий набор правил:

table inet filter {
    map whitelist {
            type ipv4_addr . inet_service : verdict
            elements = { 192.168.1.x . ssh : accept,
                         192.168.1.y . ssh : accept,
                         192.168.1.z . ssh : accept }
    }

    chain input {
            type filter hook input priority 0; policy accept;
            ct state established,related accept
            iifname "lo" accept
            tcp dport http ip saddr { 192.168.1.0/24 } accept comment "Accept HTTP traffic on PORT 80"
            tcp dport netbios-ns ip saddr { 192.168.1.0/24 } accept comment "Accept NetBIOS Name Service (nmbd) on PORT 137"
            tcp dport netbios-dgm ip saddr { 192.168.1.0/24 } accept comment "Accept NetBIOS Datagram Service (nmbd) on PORT 138"
            tcp dport netbios-ssn ip saddr { 192.168.1.0/24 } accept comment "Accept NetBIOS Session Service (smbd) on PORT 139"
            tcp dport https ip saddr { 192.168.1.0/24 } accept comment "Accept HTTPS traffic on PORT 443"
            tcp dport microsoft-ds ip saddr { 192.168.1.0/24 } accept comment "Accept Microsoft Directory Services (smbd) on PORT 445"
            tcp dport webmin ip saddr { 192.168.1.0/24 } accept comment "Accept traffic for WebMin Interface on PORT 10000"
            udp dport netbios-ns ip saddr { 192.168.1.0/24 } accept comment "Accept NetBIOS Name Service (nmdb) on PORT 137"
            udp dport netbios-dgm ip saddr { 192.168.1.0/24 } accept comment "Accept NetBIOS Datagram Service (nmbd) on PORT 138"
            udp dport netbios-ssn ip saddr { 192.168.1.0/24 } accept comment "Accept NetBIOS Session Service (nmdb) on PORT 139"
            udp dport microsoft-ds ip saddr { 192.168.1.0/24 } accept comment "Accept Microsoft Directory Service (smbd) on PORT 445"
            meta nfproto ipv4 ip saddr . tcp dport vmap @whitelist
            drop
    }

    chain output {
            type filter hook output priority 0; policy accept;
    }

    chain forward {
            type filter hook forward priority 0; policy drop;
    }

}

Я убедился, что указанный выше диапазон сети находится в правильном диапазоне. Диапазон охватывает 254 адреса, и с моими машинами все в порядке. У меня нет проблем как с моей основной машиной, так и с другой. У этих двух машин IP-адреса 192.168.1.42 и 192.168.1.181. Но еще одна машина сводит меня с ума. Как только drop часть добавлена, что машина с IP 192.168.1.115 больше не может получить доступ к серверу. У меня вопрос, поскольку я просто не могу понять, почему эта машина больше не хочет получать доступ к данным на сервере, есть ли что-нибудь очевидное, почему этот доступ не будет работать? Что мне не хватает?

Спасибо

настоящая тень