Назад | Перейти на главную страницу

Цепочка Iptable Prerouting

Я настраиваю сеть приманок, чтобы поймать злоумышленников. У меня проблемы с маршрутизацией. Я настроил статические маршруты на всех машинах, чтобы я мог подключить любую машину к любой машине в сети. Мне нужен такой механизм, чтобы, если трафик поступает от злоумышленника на веб-сервер, локальный маршрутизатор должен его разрешать. Если есть какой-либо трафик на несуществующие машины в 172.16.75.0/24, скажем, на 172.16.75.140, тогда я хочу изменить адрес назначения на адрес внутреннего маршрутизатора, то есть 172.16.72.128. Для этого я добавил следующие два правила iptable.

  1. iptables -t nat -A PREROUTING -m Physdev --physdev-in eth0 -d 172.16.75.129 -j ВОЗВРАТ
  2. iptables -t nat -A PREROUTING -m Physdev --physdev-in eth0 -d 172.16.75.0/24 -j DNAT --to-destination 172.16.72.128
    Но то, что я ожидаю, не происходит, когда я пытаюсь отправить пакет от злоумышленника на 172.16.75.140.

Я нашел решение этой проблемы. Собственно iptables команда, которую я ввел, имеет -m Physdev --physdev-in eth0 вариант. Эта опция предназначена только для мостовых интерфейсов. Сработало после удаления опции.