Início / unix / Perguntas / 716926
Accepted
Binarus
Asked: 2022-09-12 08:13:16 +0800 CST

Em nftables, como podemos obter o endereço IP pelo qual um pacote chegou se a respectiva interface tiver vários endereços IP atribuídos?

  • 772

Atualização 2022-09-15:

Acontece que o que eu estava tentando alcançar não faz muito sentido. Portanto, na verdade, essa pergunta deve ser excluída. No entanto, existem alguns comentários muito esclarecedores; portanto, vou deixá-lo como está no momento e deixar a decisão sobre seu destino para a comunidade.

Pergunta original:

Atualmente estou tentando aprender nftablese tenho feito alguns progressos. Agora eu tenho o seguinte problema (por favor, tenha paciência comigo se a pergunta for burra, mas todas as referências apontam para wiki.netfilter.org, que atualmente está inativa (minha sorte de sempre :-)):

Eu tenho uma rede IPv4 com alguns PCs clientes e um PC roteador/firewall que está sendo executado nftables. O roteador tem dois endereços IP 192.168.20.253e 192.168.20.254. O primeiro é apenas para gerenciamento do roteador (por exemplo, um daemon SSH está escutando no roteador nesse endereço), enquanto o último é o endereço de gateway que os clientes devem usar.

No conjunto de regras do roteador nftables, gostaria de ser capaz de distinguir entre os pacotes que entraram .253(para esses pacotes, permitiria apenas SSH quando o daddr(endereço de destino) realmente for .253) e os pacotes que entraram .254(para esses pacotes, eu permitiria apenas se o daddrestiver fora da rede local).

Eu sei como conseguir isso se .253e .254forem atribuídos a duas interfaces diferentes. Mas este não é o caso; ambos os endereços IP do roteador são atribuídos à mesma interface.

Alguém poderia me dar uma dica? Não encontrei dicas em man nft. Ele menciona expressões de roteamento como ipou nexthop, mas isso obviamente não ajuda. Preciso criar duas interfaces (na mesma NIC) e atribuir .253a uma delas e .254a outra?

nftables

1 respostas

  1. Best Answer

    O roteador tem dois endereços IP, 192.168.20.253 e 192.168.20.254 ...ambos ... são atribuídos à mesma interface

    Então temos algo como:

    # ip addr
3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:f8:ed:0e brd ff:ff:ff:ff:ff:ff
    inet 192.168.20.254/24 brd 192.168.20.255 scope global enp0s8
       valid_lft forever preferred_lft forever
    inet 192.168.20.253/24 brd 192.168.20.255 scope global secondary enp0s8
       valid_lft forever preferred_lft forever

    Portanto, ambos na mesma porta ethernet física (L1) e no mesmo endereço MAC (L2).

    Gostaria de impedir que os clientes acessassem a Internet via .253

    Ou seja, os clientes podem configurar o gateway em seus computadores como 192.168.20.253ou como192.168.20.254

    No conjunto de regras nftables do roteador, gostaria de poder distinguir entre os pacotes que chegaram por meio de .253

    Vamos ver qual é o problema aqui.

    ...

    Uma das razões é que eu gostaria de poder alterar .253 para outra coisa mais tarde sem problemas (enquanto .254 é "fixo").

    Execute um servidor DNS simples e permita que o cliente use nomes DNS em vez de IPs para se conectar.

    Mas eu entendi que não posso conseguir isso da maneira normal

    A maneira normal no seu cenário é verificar o IP do dst e configurar o DNS. Veja acima.

    Vou tentar criar uma segunda interface à qual atribuo .253; isso resolveria o problema.

    Você só precisa de uma interface separada se quiser separar os usuários nas camadas física e de enlace de dados.

    Além disso, os endereços IP que você usa da mesma sub-rede IP, portanto, mesmo com duas interfaces, não faz sentido e também você terá problemas de roteamento quando a mesma sub-rede for acessada por meio de duas interfaces.

    Você não pode fazer com que 192.168.20.253 e 192.168.20.254 estejam em sub-redes diferentes maiores que o prefixo /31.

    • 1

relate perguntas