我对iptables的安全性有疑问。
向FORWARD链提供ACCEPT政策是否安全?我的意思是,如果数据包到达那里,它已通过PREROUTING表而在PREROUTING中,如果您“喜欢它”,则只更改数据包的目标IP。
所有进入FORWARD的数据包都与PREROUTING中的一个规则相匹配吗?
答案 0 :(得分:1)
如果数据包与PREROUTING链中的任何规则都不匹配,除非您将默认FORWARD策略设置为DROP,否则没有什么可以阻止它访问您的PREROUTING链。
如果数据包的目标地址是属于主机上本地接口的地址,则只会转到INPUT链。否则,它们会转到FORWARD链,如果它们通过该链并且启用了ip_forward sysctl,系统将根据您的路由表转发它们。
您的系统可能会收到不是本地接口的数据包。这就是基本路由的工作原理:当您的系统想要联系Google的8.8.8.8的dns服务器时,数据包会被发送到您的本地默认网关,即使目标地址位于其他位置,也会接收并路由它们完全。
您的系统可能会为其所连接的物理网络或系统上托管的容器或虚拟机明确路由流量。所有这些都涉及您的系统接受和转发与本地接口不匹配的数据包。