Iptables-Firewall weiterleiten

Question

Die Verwendung eines Reverse-Proxys (der einen Header für Protokollierungszwecke einfügen sollte X-Forwarded-For) und das Entfernen der Netzwerkweiterleitung wäre eine saubere Lösung. Die folgende Lösung sollte klar verstanden werden, um unerwartete Effekte bei weiteren Änderungen der iptables-Regeln zu vermeiden.

Das gesagt...

Das Problem

LAN 10.0.0.0/24-Knoten dürfen den Router nicht als Router verwenden, zumindest nicht um zu erreichen 172.18.15.0/24. Einige tun das trotzdem.
Der Router stellt durch Verwendung von DNAT und Weiterleitung Dienste für Knoten bereit, die sich an 172.18.15.0/24( 172.18.15.2:80) befinden.10.0.0.0/24
Sobald Pakete die Filter-/Weiterleitungskette erreichen, gibt es keine Möglichkeit mehr zu unterscheiden, ob sie ursprünglich für jemanden bestimmt waren 10.0.0.1und dann einer DNAT-Prüfung unterzogen wurden oder ob sie direkt an diesen Empfänger gesendet wurden 172.18.15.2(was verboten sein sollte).

Die Lösung

Die Klassifizierung muss also vor dem NAT erfolgen: in der Mangle-Tabelle, wie in diesem zu sehen istPaketfluss in Netfilter und allgemeinem NetworkingSchema. Diese einzigartige Regel reicht aus, um damit umzugehen:

iptables -t mangle -A PREROUTING -s 10.0.0.0/24 -d 172.18.15.0/24 -j DROP

Aber normalerweise sollte es für eine bessere Verwaltung eine Rollentrennung geben: Mangle zum Ändern (nicht Löschen) oder hier Markieren und die Filtertabelle (Standard) zum Filtern und Löschen. Das ist möglich, indem man beim Mangle-Schritt eine Markierung verwendet und diese Markierung beim Filterschritt zum Löschen anpasst. Das hier ist also gleichwertig:

iptables -t mangle -A PREROUTING -s 10.0.0.0/24 -d 172.18.15.0/24 -j MARK --set-mark 1
iptables -A FORWARD -m mark --mark 1 -j DROP

(und um wirklich vollständig zu sein: iptables -A INPUT -m mark --mark 1 -j DROPum den Zugriff auf zu verhindern 172.18.15.1)

Beide Methoden sind gleichwertig. Wenn natürlich wirklich nur das Gerät 172.18.15.2 geschützt werden muss, ersetzen Sie einfach -d 172.18.15.0/24durch -d 172.18.15.2.

UPDATE: Eine einfachere Methode, die auf conntrack basiert (das aufgrund von NAT bereits verwendet wird), kann verwendet werden: AbfragenKontaktum zu wissen, ob das Paket tatsächlich DNATed war, und es zu löschen, wenn nicht. Das vereinfacht die Dinge, denn das ist nur eine Regel und einfach in der Filter-/FOWARD-Kette. Als dritte Methode anstelle der oben genannten Regeln:

iptables -A FORWARD -s 10.0.0.0/24 -d 172.18.15.0/24 -m conntrack ! --ctstate DNAT -j DROP

Auch die folgende Zeile ist nutzlos und kann entfernt werden. PREROUTING hat das Ziel mit DNAT geändert, sodass der Datenfluss INPUT nie erreicht, sondern stattdessen durch die FORWARD-Kette geht:

[0:0] -A INPUT -d 10.0.0.0/24 -p tcp -m tcp --dport 80 -j ACCEPT

Answer 1

Die Verwendung eines Reverse-Proxys (der einen Header für Protokollierungszwecke einfügen sollte X-Forwarded-For) und das Entfernen der Netzwerkweiterleitung wäre eine saubere Lösung. Die folgende Lösung sollte klar verstanden werden, um unerwartete Effekte bei weiteren Änderungen der iptables-Regeln zu vermeiden.

Das gesagt...

Das Problem

LAN 10.0.0.0/24-Knoten dürfen den Router nicht als Router verwenden, zumindest nicht um zu erreichen 172.18.15.0/24. Einige tun das trotzdem.
Der Router stellt durch Verwendung von DNAT und Weiterleitung Dienste für Knoten bereit, die sich an 172.18.15.0/24( 172.18.15.2:80) befinden.10.0.0.0/24
Sobald Pakete die Filter-/Weiterleitungskette erreichen, gibt es keine Möglichkeit mehr zu unterscheiden, ob sie ursprünglich für jemanden bestimmt waren 10.0.0.1und dann einer DNAT-Prüfung unterzogen wurden oder ob sie direkt an diesen Empfänger gesendet wurden 172.18.15.2(was verboten sein sollte).

Die Lösung

Die Klassifizierung muss also vor dem NAT erfolgen: in der Mangle-Tabelle, wie in diesem zu sehen istPaketfluss in Netfilter und allgemeinem NetworkingSchema. Diese einzigartige Regel reicht aus, um damit umzugehen:

iptables -t mangle -A PREROUTING -s 10.0.0.0/24 -d 172.18.15.0/24 -j DROP

Aber normalerweise sollte es für eine bessere Verwaltung eine Rollentrennung geben: Mangle zum Ändern (nicht Löschen) oder hier Markieren und die Filtertabelle (Standard) zum Filtern und Löschen. Das ist möglich, indem man beim Mangle-Schritt eine Markierung verwendet und diese Markierung beim Filterschritt zum Löschen anpasst. Das hier ist also gleichwertig:

iptables -t mangle -A PREROUTING -s 10.0.0.0/24 -d 172.18.15.0/24 -j MARK --set-mark 1
iptables -A FORWARD -m mark --mark 1 -j DROP

(und um wirklich vollständig zu sein: iptables -A INPUT -m mark --mark 1 -j DROPum den Zugriff auf zu verhindern 172.18.15.1)

Beide Methoden sind gleichwertig. Wenn natürlich wirklich nur das Gerät 172.18.15.2 geschützt werden muss, ersetzen Sie einfach -d 172.18.15.0/24durch -d 172.18.15.2.

UPDATE: Eine einfachere Methode, die auf conntrack basiert (das aufgrund von NAT bereits verwendet wird), kann verwendet werden: AbfragenKontaktum zu wissen, ob das Paket tatsächlich DNATed war, und es zu löschen, wenn nicht. Das vereinfacht die Dinge, denn das ist nur eine Regel und einfach in der Filter-/FOWARD-Kette. Als dritte Methode anstelle der oben genannten Regeln:

iptables -A FORWARD -s 10.0.0.0/24 -d 172.18.15.0/24 -m conntrack ! --ctstate DNAT -j DROP

Auch die folgende Zeile ist nutzlos und kann entfernt werden. PREROUTING hat das Ziel mit DNAT geändert, sodass der Datenfluss INPUT nie erreicht, sondern stattdessen durch die FORWARD-Kette geht:

[0:0] -A INPUT -d 10.0.0.0/24 -p tcp -m tcp --dport 80 -j ACCEPT

Iptables-Firewall weiterleiten

BEARBEITEN:

Antwort1

Das Problem

Die Lösung

verwandte Informationen