На сервере/брандмауэре SSH (192.168.2.3), за которым находится локальная сеть, скажем, 192.168.2.1/30, будут ли попытки подключения, предпринимаемые внутренними машинами сети 192.168.2.1/30, интерпретироваться брандмауэром как входящие или исходящие соединения?
Если они считываются как входящие или исходящие, нужно ли указывать блок адресов назначения или источника (192.168.2.1/30)? Или когда именно нужны опции -d или -s?
Я понимаю это так: если я хочу, чтобы эти внутренние машины установили новые связи с внешним миром, правило звучит так.
iptables -A OUTPUT -s 192.168.2.8/30 -m state --state NEW -j ACCEPT
и если бы сервер SSH хотел создать новые SSH-подключения к внешнему миру, правило было бы таким:
iptables -A OUTPUT -p tcp --sport 22 -m state --state NEW -j ACCEPT
В этом случае следует ли мне исключить IP-адрес SSH-сервера или включить его в правило?
Большое спасибо.
решение1
INPUTи OUTPUTопределяются исключительно в отношении системы, на которой iptablesон работает. Другими словами, iptablesему все равно, какие системы находятся на его интерфейсах; ему все равно, подключен ли интерфейс к вашей доверенной локальной сети, или к DMZ, или к аквариуму, полному акул с ноутбуками.
INPUTвсегда относится к трафикувходящийинтерфейс извне, с целью локального завершения. OUTPUTотносится к трафику, который возник локально и собирается завершитьсяоставлятьчерез интерфейс. FORWARDотносится к трафику, который входит в один интерфейс и напрямую выходит из другого.
Первый, который вы цитируете выше, опосредует трафик из 192.168.2.0/30локальной сети на одном интерфейсе во внешний мир на другом, так что оба должны быть в цепочке FORWARD. Второй опосредует трафик из брандмауэра во внешний мир, так что все в порядке, как есть.
Хотя, могу я попутно добавить, что это не совсем локальная сеть, и вам, вероятно, следует проверить эту маску сети, поскольку брандмауэр имеет недопустимый адрес в контексте локальной сети (это широковещательный адрес, который не должен быть назначен одному хосту). Смотритенаш знаменитый канонический вопрос о подсетях IPv4для дальнейшего обсуждения.