Назад | Перейти на главную страницу

iptables NAT - это политика Принять дыру в безопасности?

Я усиливаю свой vps-сервер, и недавно я увидел, что все политики открыты (ПРИНЯТЬ) за Nat Table. Я ищу в Интернете и ничего не нашел о защите нат-таблицы. Это дыра в безопасности или нет? Здесь ВЫХОД:

Chain PREROUTING (policy ACCEPT 21038 packets, 1097K bytes)
 pkts bytes target     prot opt in     out     source               destination                                                 

Chain INPUT (policy ACCEPT 9 packets, 1088 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                 

Chain OUTPUT (policy ACCEPT 187 packets, 14396 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                 

Chain POSTROUTING (policy ACCEPT 48 packets, 3767 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                 
  523  140K MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0

За каждую помощь я благодарен

С наилучшими пожеланиями, Черная Борода

Нет, это нормально использовать политику ПРИНЯТЬ для нац стол. Использование политики DROP было бы аномалией.

Пакет проходит через различные цепочки в различных таблицах, следующих этой схеме:

Принятие означает, что пакет получает еще один шанс быть принятым или отброшенным в следующем раунде (то есть: следующая цепочка и ее правила для получения этого пакета). Отбрасывание имеет мгновенный эффект: пакет исчезает, и никакое другое правило для этого пакета не обрабатывается. Так как пакет проходит через различные цепочки в различных таблицах, есть много мест, где его можно отбросить. Один DROP в любом месте удалит пакет. Дополнительное ПРИНЯТИЕ (например: если NAT никогда не используется, нет нац таблица создана) не изменит этот результат.

Как нац table предназначена для NAT, а не для фильтрации трафика (для этого есть отдельная таблица: фильтр), нет причин, чтобы NAT когда-либо сбрасывал трафик. Это все еще технически возможно, но в любом случае вы также должны учитывать, что NAT не обрабатывается, как другие таблицы, потому что он действительно является частью Conntrack: виден только первый пакет каждого нового потока iptables' нац таблица, чтобы установить правила NAT для потока. Другие этого не сделают, их обработка осуществляется напрямую Conntrack который следует правилам NAT (включенным в соответствующие Conntrack таблица, к которой можно обратиться conntrack команда).

Короче говоря, никогда не падайте в нац таблица: вы должны ПРИНЯТЬ или ВОЗВРАТИТЬ, чтобы создать исключения из следующих правил, фактически выполняющих NAT (таким образом, оставив пакет нетронутым, чтобы он продолжил до следующего раунда), или использовать различные доступные цели NAT (например: DNAT, REDIRECT, SNAT, MASQUERADE. ..), чтобы установить правила NAT для этого потока (в котором пакет также будет продолжен до следующего раунда). Оставьте политику DROP по умолчанию для цепочек в фильтр стол. В калечить table также может использоваться для отбрасывания трафика, но обычно для его цепочек не настроена политика DROP по умолчанию. Что касается малоизвестного безопасность table Я бы не знал, он редко используется, поэтому редко встречается.