iptables NAT はポリシー受け入れによるセキュリティホールですか?

iptables NAT はポリシー受け入れによるセキュリティホールですか?

私はVPSサーバーを強化していますが、最近すべてのポリシーがオープンになっていることがわかりました(受け入れる) が Nat テーブルにあります。インターネットで検索しましたが、nat テーブルのセキュリティ保護に関する情報は見つかりませんでした。これはセキュリティ ホールでしょうか? 出力は次のとおりです。

Chain PREROUTING (policy ACCEPT 21038 packets, 1097K bytes)
 pkts bytes target     prot opt in     out     source               destination                                                 

Chain INPUT (policy ACCEPT 9 packets, 1088 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                 

Chain OUTPUT (policy ACCEPT 187 packets, 14396 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                 

Chain POSTROUTING (policy ACCEPT 48 packets, 3767 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                 
  523  140K MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0   

あらゆる助けに感謝します

よろしくお願いいたします。黒ひげ

答え1

いいえ、ACCEPTポリシーを使用しても問題ありません。ナットテーブル。DROP ポリシーの使用は異常です。

パケットは、次の図に従って、さまざまなテーブル内のさまざまなチェーンを通過します。

Netfilter と一般的なネットワークにおけるパケットフロー

受け入れられるということは、パケットが次のラウンド(つまり、このパケットを受信する次のチェーンとそのルール)で受け入れられるかドロップされるかの別のチャンスを得ることを意味します。ドロップされると、即座に効果があります。パケットは消え、このパケットに対して他のルールは処理されません。パケットがさまざまなテーブルのさまざまなチェーンを通過すると、ドロップされる場所はたくさんあります。どこかで DROP を 1 回実行すると、パケットが削除されます。追加の ACCEPT(例:NAT がまったく使用されない場合は、ナットテーブルが作成されても、この結果は変わりません。

としてナットテーブルは NAT を実行するためのものであり、トラフィックをフィルタリングするためのものではありません (このために専用のテーブルがあります:フィルター)、NATがトラフィックをドロップする理由はありません。技術的には可能ですが、NATは他のテーブルのようには扱われないことも考慮する必要があります。なぜなら、NATは実際には接続トラック: 各新しいフローの最初のパケットのみがiptables'ナットフローのNATルールを確立するために、テーブルを使用します。他のものは使用しません。それらの処理は直接行われます。接続トラックNATルールに従う(関連する接続トラック相談できるテーブルconntrack指示)。

つまり、決してドロップしてはいけないのですナット表: 実際にNATを行うルールに例外を作成するにはACCEPTまたはRETURNを使用するか(パケットはそのまま残して次のラウンドに進む)、利用可能なさまざまなNATターゲット(例:DNAT、REDIRECT、SNAT、MASQUERADE ...)を使用してこのフローのNATルールを確立します(これによりパケットは次のラウンドに進むことになります)。DROPのデフォルトポリシーは、フィルター表。マングルテーブルはトラフィックをドロップするためにも使用できますが、通常はチェーンに対してデフォルトのDROPポリシーが設定されていません。あまり知られていない安全テーブルはわかりません。めったに使用されないので、ほとんど存在しません。

関連情報