Ist Policy Accept bei iptables NAT eine Sicherheitslücke?

Ist Policy Accept bei iptables NAT eine Sicherheitslücke?

ich härte meinen vps-server ab und habe kürzlich gesehen, dass alle richtlinien offen sind (AKZEPTIEREN) bei Nat Table. Ich habe im Internet gesucht und nichts über die Sicherung von Nat Table gefunden. Ist das eine Sicherheitslücke oder nicht? Hier die AUSGABE:

Chain PREROUTING (policy ACCEPT 21038 packets, 1097K bytes)
 pkts bytes target     prot opt in     out     source               destination                                                 

Chain INPUT (policy ACCEPT 9 packets, 1088 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                 

Chain OUTPUT (policy ACCEPT 187 packets, 14396 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                 

Chain POSTROUTING (policy ACCEPT 48 packets, 3767 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                 
  523  140K MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0   

Für jede Hilfe bin ich dankbar

freundliche Grüße, Blackbeard

Antwort1

Nein, es ist völlig in Ordnung, eine ACCEPT-Richtlinie für dienatürlichTabelle. Die Verwendung einer DROP-Richtlinie wäre eine Anomalie.

Ein Paket durchläuft verschiedene Ketten in verschiedenen Tabellen nach diesem Schema:

Paketfluss in Netfilter und allgemeinem Networking

Akzeptiert zu werden bedeutet lediglich, dass das Paket eine weitere Chance bekommt, in der nächsten Runde akzeptiert oder verworfen zu werden (also: die nächste Kette und ihre Regeln zum Empfangen dieses Pakets). Verworfen zu werden hat eine sofortige Auswirkung: Das Paket verschwindet und es wird keine andere Regel für dieses Paket verarbeitet. Während das Paket also die verschiedenen Ketten in den verschiedenen Tabellen durchläuft, gibt es viele Stellen, an denen es verworfen werden kann. Ein DROP an einer beliebigen Stelle entfernt das Paket. Ein zusätzliches ACCEPT (z. B.: wenn NAT nie verwendet wird, gibt es keinnatürlichTabelle erstellt) wird dieses Ergebnis nicht ändern.

Als dienatürlichDie Tabelle ist für NAT gedacht und nicht für die Filterung des Datenverkehrs (hierfür gibt es eine eigene Tabelle:Filter), gibt es keinen Grund, NAT jemals den Verkehr abschalten zu lassen. Es ist technisch immer noch möglich, dies zu tun, aber Sie müssen trotzdem bedenken, dass NAT nicht wie andere Tabellen behandelt wird, da es eigentlich Teil vonKontakt: nur das erste Paket jedes neuen Flusses wird angezeigt iniptables'natürlichTabelle, um NAT-Regeln für den Datenfluss festzulegen. Andere tun dies nicht, ihre Handhabung erfolgt direkt durchKontaktdie den NAT-Regeln folgt (enthalten in den entsprechendenKontaktTabelle, die eingesehen werden kann mit demconntrackBefehl).

Kurz gesagt: Sie sollten niemals DROP in dennatürlichTabelle: Sie sollten ACCEPT oder RETURN verwenden, um Ausnahmen von den folgenden Regeln zu erstellen, die tatsächlich NAT durchführen (und so das Paket unberührt lassen, damit es in die nächste Runde übergeht), oder die verschiedenen verfügbaren NAT-Ziele verwenden (z. B. DNAT, REDIRECT, SNAT, MASQUERADE ...), um die NAT-Regeln für diesen Fluss festzulegen (der das Paket auch in die nächste Runde übergehen lässt). Belassen Sie die DROP-Standardrichtlinie für Ketten in derFilterTabelle. DieMangelTabelle kann auch zum Löschen von Datenverkehr verwendet werden, ist aber normalerweise auch für ihre Ketten nicht mit einer Standard-DROP-Richtlinie konfiguriert. Was die wenig bekannteSicherheitTisch weiß ich nicht, er wird selten benutzt, existiert also selten.

verwandte Informationen