У меня так вообще правила не меняются, при выборе любого варианта. Я систему полностью не ставил, видимо, чего-то не хватает.
Это я наврал.
Сейчас проверил ещё раз.
Правила прописываются при запуске
pppoe-start.
Однако при вызове
pppoe-stop эти правила не удаляются.
При переходе между
STANDALONE и
MASQUERADE текущие правила заменяются новыми.
При выборе
NONE текущий набор правил не изменяется.
Я по очереди ставил все три варианта, всякий раз предварительно очищая настройки
iptables.
Вот что получилось:
При выборе варианта
1
FIREWALL=STANDALONE, iptables-save
# Generated by iptables-save v1.4.20 on Sat Oct 3 22:45:02 2015
*mangle
:PREROUTING ACCEPT [1405:265526]
:INPUT ACCEPT [1405:265526]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2132:242382]
:POSTROUTING ACCEPT [2132:242382]
COMMIT
# Completed on Sat Oct 3 22:45:02 2015
# Generated by iptables-save v1.4.20 on Sat Oct 3 22:45:02 2015
*filter
:INPUT ACCEPT [1131:240993]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1798:214976]
-A INPUT -i ppp+ -p udp -m udp --dport 0:1023 -j LOG
-A INPUT -i ppp+ -p tcp -m tcp --dport 0:1023 -j LOG
-A INPUT -i ppp+ -p udp -m udp --dport 0:1023 -j DROP
-A INPUT -i ppp+ -p tcp -m tcp --dport 0:1023 -j DROP
-A INPUT -i ppp+ -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG
-A INPUT -i ppp+ -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -i ppp+ -p icmp -m icmp --icmp-type 8 -j DROP
COMMIT
# Completed on Sat Oct 3 22:45:02 2015
# Generated by iptables-save v1.4.20 on Sat Oct 3 22:45:02 2015
*nat
:PREROUTING ACCEPT [36:3498]
:INPUT ACCEPT [16:2506]
:OUTPUT ACCEPT [848:79361]
:POSTROUTING ACCEPT [848:79361]
COMMIT
# Completed on Sat Oct 3 22:45:02 2015
Не вижу ничего особенного. Закрываются привелегированные порты.
При выборе варианта
2
FIREWALL=MASQUERADE, iptables-save
# Generated by iptables-save v1.4.20 on Sat Oct 3 22:49:31 2015
*mangle
:PREROUTING ACCEPT [155:12079]
:INPUT ACCEPT [155:12079]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [155:10945]
:POSTROUTING ACCEPT [155:10945]
COMMIT
# Completed on Sat Oct 3 22:49:31 2015
# Generated by iptables-save v1.4.20 on Sat Oct 3 22:49:31 2015
*filter
:INPUT DROP [7:1974]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [7:840]
-A INPUT -i ppp+ -p tcp -m tcp --dport 0:1023 -j LOG
-A INPUT -i ppp+ -p udp -m udp --dport 0:1023 -j LOG
-A INPUT -i ppp+ -p tcp -m tcp --dport 0:1023 -j DROP
-A INPUT -i ppp+ -p udp -m udp --dport 0:1023 -j DROP
-A INPUT -i ppp+ -p udp -m udp --dport 2049 -j LOG
-A INPUT -i ppp+ -p tcp -m tcp --dport 2049 -j LOG
-A INPUT -i ppp+ -p udp -m udp --dport 2049 -j DROP
-A INPUT -i ppp+ -p tcp -m tcp --dport 2049 -j DROP
-A INPUT -i ppp+ -p tcp -m tcp --dport 6000:6063 -j LOG
-A INPUT -i ppp+ -p tcp -m tcp --dport 6000:6063 -j DROP
-A INPUT -i ppp+ -p tcp -m tcp --dport 7100 -j LOG
-A INPUT -i ppp+ -p tcp -m tcp --dport 7100 -j DROP
-A INPUT -i ppp+ -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG
-A INPUT -i ppp+ -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -i ppp+ -p icmp -m icmp --icmp-type 8 -j DROP
COMMIT
# Completed on Sat Oct 3 22:49:31 2015
# Generated by iptables-save v1.4.20 on Sat Oct 3 22:49:31 2015
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [7:840]
:POSTROUTING ACCEPT [1:72]
-A POSTROUTING -o ppp+ -j MASQUERADE
COMMIT
# Completed on Sat Oct 3 22:49:31 2015
Здесь правил добавляется чуть больше.
При выборе варианта
0
FIREWALL=NONE, iptables-save
# Generated by iptables-save v1.4.20 on Sat Oct 3 22:51:07 2015
*mangle
:PREROUTING ACCEPT [213:23507]
:INPUT ACCEPT [213:23507]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [334:31793]
:POSTROUTING ACCEPT [334:31793]
COMMIT
# Completed on Sat Oct 3 22:51:07 2015
# Generated by iptables-save v1.4.20 on Sat Oct 3 22:51:07 2015
*filter
:INPUT ACCEPT [213:23507]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [334:31793]
COMMIT
# Completed on Sat Oct 3 22:51:07 2015
# Generated by iptables-save v1.4.20 on Sat Oct 3 22:51:07 2015
*nat
:PREROUTING ACCEPT [4:275]
:INPUT ACCEPT [4:275]
:OUTPUT ACCEPT [92:5578]
:POSTROUTING ACCEPT [92:5578]
COMMIT
# Completed on Sat Oct 3 22:51:07 2015
Как видите, в этом случае набор правил остаётся пустым. Что и заявлено в
pppoe-setup.
Так или иначе, никакой "кучи ненужных блокирующих правил" я не увидел.
Да, при выборе варианта
3 правил добавляется больше.
Но если Вы считаете, что это "куча правил", могу Вам сказать, что это Вы ещё Sharewall не видели. Или OpenWRT.
А здесь как раз всё довольно-таки компактно.
И опять-таки, при выборе варианта
0 правила не добавляются вообще - пользуйтесь на здоровье.