estou fortalecendo meu servidor vps e vi recentemente que todas as políticas estão abertas (ACEITAR) na mesa Nat. Estou pesquisando na Internet e não encontrei nada sobre como proteger a tabela nat. Isso é uma falha de segurança ou não? Aqui a SAÍDA:
Chain PREROUTING (policy ACCEPT 21038 packets, 1097K bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 9 packets, 1088 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 187 packets, 14396 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 48 packets, 3767 bytes)
pkts bytes target prot opt in out source destination
523 140K MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0
Por cada ajuda estou grato
Atenciosamente Barba Negra
Responder1
Não, é perfeitamente aceitável usar uma política ACCEPT para onaturalmesa. Usar uma política DROP seria uma anomalia.
Um pacote atravessa várias cadeias em várias tabelas seguindo este esquema:
Ser aceito significa apenas que o pacote tem outra chance de ser aceito ou descartado na próxima rodada (ou seja: a próxima cadeia e suas regras para receber este pacote). Ser descartado tem um efeito instantâneo: o pacote desaparece e nenhuma outra regra é processada para este pacote. Assim, à medida que o pacote atravessa as várias cadeias nas diversas tabelas, há muitos lugares onde ele pode ser descartado. Um DROP em qualquer lugar removerá o pacote. Um ACCEPT adicional (por exemplo: se o NAT nunca for usado, não hánaturaltabela criada) não alterará este resultado.
Enquanto onaturaltable destina-se a fazer NAT e não a filtrar tráfego (para isso existe uma tabela dedicada:filtro), não há razão para que o NAT diminua o tráfego. Ainda é tecnicamente possível fazer isso, mas de qualquer forma você também deve considerar que o NAT não é tratado como outras tabelas porque na verdade faz parte doconexão: apenas o primeiro pacote de cada novo fluxo é visto emtabelas de ip'naturaltabela, a fim de estabelecer regras NAT para o fluxo. Outros não, seu manejo é feito diretamente porconexãoque segue as regras NAT (incluídas no relevanteconexãotabela que pode ser consultada com oconntrack
comando).
Resumindo, você nunca deve cair nonaturaltabela: você deve ACCEPT ou RETURN para criar exceções para seguir regras que realmente fazem NAT (deixando assim o pacote intocado para que continue na próxima rodada), ou usar os vários alvos NAT disponíveis (por exemplo: DNAT, REDIRECT, SNAT, MASQUERADE . ..) para estabelecer as regras NAT para este fluxo (que também fará com que o pacote continue para a próxima rodada). Deixe a política padrão DROP para cadeias nofiltromesa. Omangletabela também pode ser usada para eliminar tráfego, mas geralmente não é configurada com uma política DROP padrão para suas cadeias. Quanto ao pouco conhecidosegurançatable eu não saberia, raramente é usada, tão raramente existe.