INPUT 체인의 경우 대부분의 우려 사항은 SRC IP에 대한 것입니다.
그러나 아래의 경우:
누군가가 잘못된 src ip 또는 잘못된 대상 포트를 보내는 경우 다음이 작동합니다.
호스트 인터페이스 중 하나의 IP는 192.168.1.11입니다.
iptables -A INPUT -s 192.168.1.1 -d 192.168.1.11 -dport 1000 -j ACCEPT
iptables -A INPUT -j NFLOG --nflog-group 30
iptables -A INPUT -j DROP
아래는 작동하지 않습니다누군가가 잘못된 src ip 또는 잘못된 대상 포트를 보낸 경우:
호스트의 인터페이스에 IP - 192.168.1.11이 없습니다.
iptables -A INPUT -s 192.168.1.1 -d 192.168.1.11 -dport 1000 -j ACCEPT
iptables -A INPUT -j NFLOG --nflog-group 30
iptables -A INPUT -j DROP
이는 다음과 같은 인상을 줍니다.
- 호스트에서 IP 등록을 취소하면(특정 IP가 있는 iface 없음) 해당 규칙을 전혀 고려하지 않도록 iptable을 만들 수 있습니다.
- iptable은 이 들어오는 패킷을 전혀 수신하지 않으며 그보다 먼저 삭제됩니다.
iptables는 IP 라우팅 이후 후반 단계에 제공됩니다.
이것이 iptable의 작동 방식인지 알려줄 수 있는 사람이 있나요?
또한 잘못된 목적지 IP를 설명하는 시스템에 들어오는 메시지에 대해 NFLOG에 로그인하려는 의도가 있는 경우 이를 극복하는 방법은 무엇입니까?
나는 -t mangle, -t nat, -A 사전 경로 및 문자열 검사를 시도했습니다.
ebtable, NetFilter 등과 같은 낮은 수준의 검사를 사용할 필요가 없습니까?
답변1
호스트의 인터페이스에 IP - 192.168.1.11이 없습니다.
이는 다음과 같은 인상을 줍니다. -- 호스트에서 IP 등록을 취소하면(특정 IP가 있는 iface 없음) 해당 규칙을 전혀 고려하지 않도록 iptable을 만듭니다.
한발 물러서서 iptables를 무시하고 컴퓨터가 왜 패킷을 받아들이고 처리하는지 생각해 보세요. 모든 방화벽 규칙을 완전히 비활성화하면 어떻게 될까요?
컴퓨터에 특정 인터페이스와 연결된 IP가 없고 특별한 작업을 수행하지 않은 경우 Mac 주소로 ARP 패킷에 응답하지도 않습니다. 따라서 패킷은 애초에 컴퓨터에 의해 처리되지 않습니다.