A maioria das preocupações é com o SRC ip no caso da cadeia INPUT.
No entanto, para o caso abaixo:
Abaixo funciona se alguém enviar ip src errado ou porta de destino errada:
O IP de uma das interfaces no host é 192.168.1.11
iptables -A INPUT -s 192.168.1.1 -d 192.168.1.11 -dport 1000 -j ACCEPT
iptables -A INPUT -j NFLOG --nflog-group 30
iptables -A INPUT -j DROP
Abaixo não funcionase alguém enviar ip src errado ou porta de destino errada:
Não há IP - 192.168.1.11 para nenhuma interface no host
iptables -A INPUT -s 192.168.1.1 -d 192.168.1.11 -dport 1000 -j ACCEPT
iptables -A INPUT -j NFLOG --nflog-group 30
iptables -A INPUT -j DROP
Isso dá impressão:
- cancelar o registro do IP no host (sem iface com IP específico), faz com que o iptable não considere essa regra ou
- O iptable nunca receberá esse pacote de entrada e será descartado antes dele.
iptables vem em um estágio posterior após o roteamento de IPs.
Alguém pode me dizer se é assim que o iptable funciona?
Além disso, qual é a maneira de superá-lo caso a intenção seja logar no NFLOG sobre qualquer mensagem recebida que descreva o IP de destino errado.
Eu tentei -t mangle, -t nat, -A preroute e também verificação de string.
Preciso usar verificações de nível inferior, por exemplo, ebtable, NetFilter etc.
Responder1
Não há IP - 192.168.1.11 para nenhuma interface no host
Isso dá a impressão: - cancelar o registro do IP no host (sem iface com IP específico), faz com que o iptable não considere essa regra de forma alguma
Dê um passo atrás, ignore o iptables e considere por que o computador aceitaria e processaria o pacote? Se você desabilitasse completamente todas as regras do firewall, o que aconteceria?
Se um computador não tiver um IP associado a uma determinada interface e você não tiver feito nada incomum, ele nem responderá ao pacote ARP com o endereço MAC. Portanto, o pacote nunca seria processado pelo computador.