Início / server / Perguntas / 907925
Accepted
tomsk
Asked: 2018-04-17 10:40:45 +0800 CST

Ignorando regras no iptables

  • 772

Imagine que eu tenha 3 regras no iptables:

  1. Verifique se o IP está na lista de permissões no ipset e aceite-o.
  2. Verifique se o usuário tenta se conectar à porta 22 e, em seguida, solte-a.
  3. Verifique se o usuário tenta se conectar à porta 80 e aceite-a.

Este é um exemplo (não real) de regras:

iptables -A INPUT -m set --match-set whitelist src -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j DROP

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Mas eu gostaria de fazer isso se o usuário estiver na lista de permissões (1ª regra), então não o aceite, mas pule/redirecione para a 3ª regra (pule a 2ª regra), como nesta imagem ( eu sei que se o pacote for ACEITO, então está feito, isso é apenas um exemplo, não sei como fazer esse salto ):

Imagem

Então eu gostaria de perguntar a você, como posso definir esse "pular" em cadeia.

Subquestão: Se for possível, também é possível redirecioná-lo para outra cadeia para uma regra específica?

Atualização: cenário real

iptables -A INPUT -m set --match-set whitelist src -j ACCEPT

iptables -A INPUT -m geoip --src-cc DE -j DROP

... other rules ...

Como você pode ver, eu coloquei na lista de permissões apenas a Alemanha, se o IP do alemão passar pela segunda regra, então vou verificar se há outras regras, mas também uso IPs na lista de permissões.

Portanto, se algum IP estiver na lista de permissões (principalmente não alemão), não quero verificar se é IP alemão (porque falharia), em vez disso, esse IP deve pular para outras regras (3ª linha) e pular a verificação do país.

Que tal ir para a função?

iptables

2 respostas

  1. Best Answer

    Uma cadeia personalizada pode ser usada para organizar as coisas com mais facilidade. Há um outro destino "terminal" mais útil uma vez em uma cadeia personalizada: RETURNpara voltar imediatamente e executar a regra após a regra de chamada. RETURNna cadeia base apenas aplica a política padrão, por isso não é muito usado.

    O exemplo solicitado torna-se:

    iptables -N whitelist-check
iptables -A whitelist-check -m set --match-set whitelist src -j RETURN
iptables -A whitelist-check -p tcp --dport 22 -j DROP
iptables -A INPUT -j whitelist-check
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

    Às vezes, inverter a lógica e o agrupamento também pode funcionar. Para este caso simples, um método equivalente teria sido simplesmente:

    iptables -A INPUT -p tcp -m set ! --match-set whitelist src --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

    Para o cenário atualizado : solte tudo o que não está na lista de permissões nem do DE (nem ...). Para exceções adicionais, basta adicionar mais regras terminando com -j RETURNantes do-j DROP

    Atualização 2 : alterou a lógica DEdesde que o OP também a alterou ... se, de acordo com a alteração do OP, o tráfego for interrompido para a Alemanha, aqui, o tráfego continua para fora da Alemanha.

    iptables -N filterchain
iptables -A filterchain -m set --match-set whitelist src -j RETURN
iptables -A filterchain -m geoip ! --src-cc DE -j RETURN
...
iptables -A filterchain -j DROP

iptables -A INPUT -j filterchain
... other rules ...
    • 2

  2. Até onde eu sei, você não pode pular regras dentro de uma cadeia. Você absolutamente pode "saltar" para outra cadeia se uma regra for correspondida. Por exemplo, iptables -A INPUT -p tcp -j tcp_packet_chaincorresponderá a todos os pacotes TCP e os levará para o "tcp_packet_chain". É importante notar que se o pacote não for ACCEPTed ou DENYed na cadeia, você retornará à próxima regra na cadeia original.

    • 1

relate perguntas