iptables 将所有转发规则放在预路由中
iptables put all forwarding rules in prerouting
我对 iptables 的安全性有疑问。
给FORWARD链ACCEPT策略安全吗?我的意思是,如果数据包到达那里,它已经通过 PREROUTING table 并且在 PREROUTING 中,如果你 "like it".
你只改变数据包的目标 ip
进入 FORWARD 的所有数据包都与 PREROUTING 中的规则之一匹配,对吗?
如果数据包与您的 PREROUTING 链中的任何规则都不匹配,则无法阻止它命中您的 FORWARD 链,除非您将默认的 PREROUTING 策略设置为丢弃。
如果数据包的目标地址是属于您主机上本地接口的地址,则数据包只会进入 INPUT 链。否则,它们会转到 FORWARD 链,如果它们通过该链并且启用了 ip_forward sysctl,您的系统将根据您的路由 table.
转发它们
您的系统可能会收到不是发往本地接口的数据包。这就是基本路由的工作原理:当您的系统想要联系 Google 的 8.8.8.8 的 dns 服务器时,数据包将发送到您的本地默认网关,即使目标地址是完全在其他地方。
您的系统可能会明确地为其所连接的物理网络或系统上托管的容器或虚拟机路由流量。所有这些都涉及您的系统接受和转发与本地接口不匹配的数据包。
我对 iptables 的安全性有疑问。
给FORWARD链ACCEPT策略安全吗?我的意思是,如果数据包到达那里,它已经通过 PREROUTING table 并且在 PREROUTING 中,如果你 "like it".
你只改变数据包的目标 ip进入 FORWARD 的所有数据包都与 PREROUTING 中的规则之一匹配,对吗?
如果数据包与您的 PREROUTING 链中的任何规则都不匹配,则无法阻止它命中您的 FORWARD 链,除非您将默认的 PREROUTING 策略设置为丢弃。
如果数据包的目标地址是属于您主机上本地接口的地址,则数据包只会进入 INPUT 链。否则,它们会转到 FORWARD 链,如果它们通过该链并且启用了 ip_forward sysctl,您的系统将根据您的路由 table.
您的系统可能会收到不是发往本地接口的数据包。这就是基本路由的工作原理:当您的系统想要联系 Google 的 8.8.8.8 的 dns 服务器时,数据包将发送到您的本地默认网关,即使目标地址是完全在其他地方。
您的系统可能会明确地为其所连接的物理网络或系统上托管的容器或虚拟机路由流量。所有这些都涉及您的系统接受和转发与本地接口不匹配的数据包。