懸念事項のほとんどは、INPUT チェーンの場合の SRC IP に関するものです。
ただし、以下の場合には:
誰かが間違った src ip または間違った dest port を送信した場合には、以下が機能します。
ホストのインターフェースの 1 つの IP は 192.168.1.11 です
iptables -A INPUT -s 192.168.1.1 -d 192.168.1.11 -dport 1000 -j ACCEPT
iptables -A INPUT -j NFLOG --nflog-group 30
iptables -A INPUT -j DROP
以下は機能しません誰かが間違った送信元 IP または間違った送信先ポートを送信した場合:
ホストのどのインターフェースにもIP - 192.168.1.11がありません
iptables -A INPUT -s 192.168.1.1 -d 192.168.1.11 -dport 1000 -j ACCEPT
iptables -A INPUT -j NFLOG --nflog-group 30
iptables -A INPUT -j DROP
これは次のような印象を与えます:
- ホストに登録されていないIP(特定のIPのifaceがない)がある場合、iptableはそのルールをまったく考慮しなくなります。
- iptable はこの着信パケットをまったく受信せず、受信前にドロップされます。
iptables は IP のルーティング後の後の段階で実行されます。
iptable がこのように動作するかどうか誰か教えてもらえますか?
また、間違った宛先 IP を記述するシステムで受信されるすべての受信メッセージについて NFLOG に記録することを意図している場合、これを克服する方法は何ですか。
-t mangle、-t nat、-A preroute、文字列チェックも試しました。
ebtable、NetFilter などの低レベルのチェックを使用する必要はありますか。
答え1
ホストのどのインターフェースにもIP - 192.168.1.11がありません
これは次のような印象を与えます: -- ホストに登録されていない IP がある場合 (特定の IP の iface がない場合)、iptable はそのルールをまったく考慮しません。
一歩下がって、iptables を無視し、コンピューターがパケットを受け入れて処理する理由を考えてみましょう。ファイアウォール ルールをすべて完全に無効にすると、何が起こるでしょうか。
コンピュータに特定のインターフェースに関連付けられた IP がなく、特別な操作を行っていない場合は、MAC アドレスを含む ARP パケットに応答することすらありません。したがって、パケットはそもそもコンピュータによって処理されることもありません。