Ar trebui să fac potrivirea stateful cu iptables pentru tabelul nat?

Leon

14.03.2023, 19:49

Văd adesea că există unele reguli de potrivire cu state într-un lanț de iptables, cum ar fi INPUT.

Știu ce fac ei și mă interesează asta

Ar trebui să fac același lucru pentru lanțurile mesei NAT?

De exemplu, în routerul meu de acasă, vreau să accepte ssh și, de asemenea, acționează ca un router NAT.

Daca avem:

-A INPUT -m stare --stare RELATED,STABLISHED -j ACCEPT

-A INTRARE -p tcp -m stare --state NOU -m tcp --dport 22 -j ACCEPT

ar trebui să fac următoarele pentru o performanță mai bună?

-t nat -A POSTROUTING -m stare --state RELATED,STABLISHED -j MASQUERADE

-t nat -A POSTROUTING -s 192.168.1.0/24 -o wan0 -m stare --state NEW -j MASQUERADE

Bănuiesc că ar trebui NU faceți același lucru pentru lanțul POSTROUTING, dar ar trebui să pentru ÎNTAINTĂ.

Mulțumiri!

0 + 0

hard disk

iptables

nf-conntrack

Puncte:1

Server

Nikita Kipriyanov

14.03.2023, 20:09

Nu, nu ai nevoie de asta.

Regulile NAT dinamice folosesc întotdeauna tabele conntrack. Deci acest lucru este inutil (și greșit). The nat tabelul este parcurs doar de primul pachetul de conexiune, așa că va vedea doar --ctstate NOU pachete. Nu vede niciodată --ctstate INSTALAT pachete, deoarece acestea nu traversează reguli. Dacă pachetul este găsit în tabelul de urmărire a conexiunilor nat, acesta are traducerea înregistrată aplicată și treceți cu următorul tabel.

Considerarea stării conexiunii pare a fi utilă în REDIRECŢIONA lanț, nu în PRERUUTARE sau POSTOUTARE, așa că folosește-l în filtru FORWARD sau MANGLE ÎNAINTE Mese.

Notă suplimentară: stat modulul de potrivire este învechit și eliminat din nucleu. Potrivirea reală este implementată cu contratrack modul.După părerea mea, este mai bine să-l folosești în mod explicit, așa că mai bine îl folosești întotdeauna -m conttrack --ctstate ... mai degraba -m stare.

0 + 0

Leon

14.03.2023, 20:13

Mulțumesc mult!!!

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Should I do the stateful matching with iptables for nat table?

TH: ฉันควรทำการจับคู่สถานะกับ iptables สำหรับตาราง nat หรือไม่

RO: Ar trebui să fac potrivirea stateful cu iptables pentru tabelul nat?

RU: Должен ли я выполнять сопоставление состояния с iptables для таблицы nat?

VI: Tôi có nên thực hiện khớp trạng thái với iptables cho bảng nat không?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.