vps-server를 강화하고 있는데 최근에 모든 정책이 공개된 것을 확인했습니다(수용하다) Nat 테이블에서. 인터넷을 검색했는데 NAT 테이블 보안에 대한 내용을 찾지 못했습니다. 그게 보안 허점인가요, 아닌가요? 출력은 다음과 같습니다.
Chain PREROUTING (policy ACCEPT 21038 packets, 1097K bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 9 packets, 1088 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 187 packets, 14396 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 48 packets, 3767 bytes)
pkts bytes target prot opt in out source destination
523 140K MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0
모든 도움에 감사드립니다
검은수염에게 감사 인사를 전합니다
답변1
아니요. ACCEPT 정책을 사용해도 괜찮습니다.낫테이블. DROP 정책을 사용하는 것은 예외입니다.
패킷은 다음 회로도에 따라 다양한 테이블의 다양한 체인을 통과합니다.
수락된다는 것은 패킷이 다음 라운드에서 수락되거나 삭제될 또 다른 기회를 얻는다는 의미입니다(예: 이 패킷을 수신하는 다음 체인 및 해당 규칙). 삭제되면 즉시 효과가 나타납니다. 즉, 패킷이 사라지고 이 패킷에 대해 다른 규칙이 처리되지 않습니다. 따라서 패킷이 다양한 테이블의 다양한 체인을 통과할 때 패킷이 삭제될 수 있는 장소가 많이 있습니다. 어디서나 한 번만 DROP하면 패킷이 제거됩니다. 추가 ACCEPT(예: NAT가 전혀 사용되지 않은 경우낫생성된 테이블)은 이 결과를 변경하지 않습니다.
다음과 같이낫테이블은 NAT를 수행하기 위한 것이며 트래픽을 필터링하기 위한 것이 아닙니다(이를 위한 전용 테이블이 있습니다:필터), NAT가 트래픽을 삭제하도록 할 이유가 없습니다. 기술적으로는 여전히 가능하지만 NAT는 실제로 NAT의 일부이기 때문에 다른 테이블처럼 처리되지 않는다는 점도 고려해야 합니다.콘트랙: 각각의 새로운 흐름의 첫 번째 패킷만 표시됩니다.iptables'낫흐름에 대한 NAT 규칙을 설정하기 위해 테이블을 작성합니다. 다른 사람들은 그렇지 않습니다. 처리는 직접 수행됩니다.콘트랙이는 NAT 규칙을 따릅니다(관련 규칙에 포함됨).콘트랙상담할 수 있는 테이블conntrack
명령).
즉, 절대로 DROP을 해서는 안 됩니다.낫표: 실제로 NAT를 수행하는 다음 규칙에 대한 예외를 생성하려면 ACCEPT 또는 RETURN을 수행해야 합니다(따라서 패킷이 그대로 유지되어 다음 라운드로 계속 진행됨). 또는 사용 가능한 다양한 NAT 대상(예: DNAT, REDIRECT, SNAT, MASQUERADE)을 사용해야 합니다. ..) 이 흐름에 대한 NAT 규칙을 설정합니다(패킷이 다음 라운드까지 계속되도록 함). DROP 기본 정책을 체인에 그대로 둡니다.필터테이블. 그만큼압착 롤러테이블은 트래픽을 삭제하는 데에도 사용할 수 있지만 일반적으로 체인에 대한 기본 DROP 정책으로 구성되지 않습니다. 잘 알려지지 않은 것에 관해서는보안테이블은 잘 모르겠지만 거의 사용되지 않아서 거의 존재하지 않습니다.