Nu. Doar procesul local ascultă pe port 2222 va primi pachetul. Dacă răspunde, va avea loc traducerea inversă și va avea loc răspuns pachetul va ieși din port 22.
A patra regulă va face orice a întâlnit pachete destinate portării 22 pentru a fi redirecționat către portul local 2222, chiar dacă nu au fost menite să fie pentru această mașină. Deoarece nu aveți alte criterii de potrivire, așa va fi pentru oricine, cu excepția conexiunilor care ies de la această mașină.
De fapt, aceasta interceptează orice trafic SSH de trecere. Dacă cineva setează acest sistem ca gateway și încearcă să se conecteze la orice serviciu SSH din afara rețelei LAN, se va conecta la serviciul tău care rulează pe portul 2222 in schimb. Dacă au fost deja stabilite, încrederea (au cheia serverului real în gazde_cunoscute sau este publicat în mod corespunzător cu DNSSEC), încercarea lor va fi respinsă de clientul lor cu avertismentul corespunzător despre atacul man-in-the-middle în curs (cu care arată în esență această regulă).
Vă rugăm să consultați Diagrama fluxului de pachete Netfilter.
Apropo, tu nu au nevoie pentru a activa redirecționarea ip în acest caz, deoarece pachetul nu trebuie redirecționat (chiar dacă trebuie redirecționat dacă nu a existat REDIRECŢIONA regulă). Și nu trebuie să faci nimic cu REDIRECŢIONA lanț, pentru că nu este traversat. Deci prima și a doua comandă sunt redundante. După nat tabel, pachetul este redirecționat către mașina locală; atunci când are loc decizia de rutare, pachetul este trimis către INTRARE lanţ. Aici puteți controla acest pachet, iar pachetul de acolo va fi deja tradus în port 2222, așa că regula din a treia comandă este corectă.
