我对iptables的安全性有疑问 .
将ACCEPT政策提供给FORWARD链是否安全?我的意思是,如果数据包到达那里,它已通过PREROUTING表,并且在PREROUTING中,如果您“喜欢它”,则只更改数据包的目标IP .
所有进入FORWARD的数据包都与PREROUTING中的一条规则相匹配吗?
如果数据包与 PREROUTING 链中的任何规则都不匹配,除非您将默认 PREROUTING 策略设置为DROP,否则没有什么可以阻止它访问 FORWARD 链 .
PREROUTING
FORWARD
如果目标地址是属于主机上本地接口的地址,则数据包仅转到 INPUT 链 . 否则,它们将转到 FORWARD 链,如果它们通过该链并且启用了 ip_forward sysctl,则系统将根据您的路由表转发它们 .
INPUT
ip_forward
您的系统可能会收到不是本地接口的数据包 . 这就是基本路由的工作原理:当您的系统想要联系Google的dns服务器(例如,8.8.8.8)时,数据包将被发送到您的本地默认网关,即使目标地址完全位于其他地方,也会接收并路由它们 .
您的系统可以为其所连接的物理网络或系统上托管的容器或虚拟机明确路由流量 . 所有这些都涉及您的系统接受和转发与本地接口不匹配的数据包 .
1 回答
如果数据包与
PREROUTING链中的任何规则都不匹配,除非您将默认PREROUTING策略设置为DROP,否则没有什么可以阻止它访问FORWARD链 .如果目标地址是属于主机上本地接口的地址,则数据包仅转到
INPUT链 . 否则,它们将转到FORWARD链,如果它们通过该链并且启用了ip_forwardsysctl,则系统将根据您的路由表转发它们 .您的系统可能会收到不是本地接口的数据包 . 这就是基本路由的工作原理:当您的系统想要联系Google的dns服务器(例如,8.8.8.8)时,数据包将被发送到您的本地默认网关,即使目标地址完全位于其他地方,也会接收并路由它们 .
您的系统可以为其所连接的物理网络或系统上托管的容器或虚拟机明确路由流量 . 所有这些都涉及您的系统接受和转发与本地接口不匹配的数据包 .