Porównaj ceny domen i usług IT, sprzedawców z całego świata

iptables filtruje przed DNAT, aby działać jako zapora ogniowa


Próbuję używać iptables w tym samym systemie do działania jako zapora sieciowa do filtrowania pakietów i przekazywania poprawnych pakietów do serwerów znajdujących się za tą zaporą, ale jeśli używam DNAT, dane są wysyłane bezpośrednio do serwerów zamiast filtrowania.
Co mam z tym zrobić?
Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Patrzeć na

diagram na tej stronie
https://www.booleanworld.com/d ... l/... Pokazuje, w jaki sposób reguły NAT poprzedzają reguły FORWARD. Nawet jeśli używasz DNAT dla jakiegoś hosta za firewallem, pakiet nadal przechodzi przez reguły FORWARD (i POSTROUTING), zanim zostanie faktycznie wysłany do hosta.
Możesz filtrować według reguł FORWARD. Przydaje się również podczas debugowania reguł, aby wstawić coś takiego FORWARD, który zostanie zarejestrowany w syslogu:
iptables -I FORWARD 1 -j LOG --log-prefix="FWD: "

Spowoduje to utworzenie wielu wpisów w syslogu, ale da ci pewne wyobrażenie o przesyłanym ruchu. Po skonfigurowaniu wszystkiego usuń regułę.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Nawet pakiety DNAT przechodzą przez filtr. Przetworzone w porządku
NAT-PREROUTING (e.g. DNAT) => FORWARD => NAT-POSTROUTING (e.g. SNAT, MASQUERADE)

Jeśli to nie zadziała, najprawdopodobniej masz reguły przekierowania oparte na nagłówkach sprzed DNAT. Gdy DNAT zakończy przetwarzanie transferu, jest on przetwarzany z już zmienionym miejscem docelowym.
Jeśli podasz więcej szczegółów na temat zasad i informacji, jaki ruch jest „niefiltrowany”, ktoś może spróbować zweryfikować Twoją sprawę ... Podałeś zbyt wiele informacji, aby były bardziej szczegółowe.

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się