我正在强化我的 vps 服务器,最近我看到所有策略在 Nat Table都是开放的(接受)。我在互联网上搜索并没有发现任何关于保护 nat 表的信息。这是否是一个安全漏洞?这里的输出:
Chain PREROUTING (policy ACCEPT 21038 packets, 1097K bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 9 packets, 1088 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 187 packets, 14396 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 48 packets, 3767 bytes)
pkts bytes target prot opt in out source destination
523 140K MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0
感谢我的每一次帮助
亲切的问候黑胡子
不,对nat表使用 ACCEPT 策略是完全可以的。使用 DROP 策略将是异常的。
一个数据包按照这个示意图遍历各个表中的各个链:
被接受,仅仅意味着数据包在下一轮有另一个被接受或丢弃的机会(即:下一个链及其接收这个数据包的规则)。被丢弃会立即产生影响:数据包消失,并且不会针对该数据包处理其他规则。因此,当数据包遍历各个表中的各个链时,有很多地方可以丢弃它。一个 DROP 任何地方都会删除数据包。额外的 ACCEPT(例如:如果从不使用 NAT,则没有创建nat表)不会改变这个结果。
由于nat表旨在执行 NAT 而不是过滤流量(为此有一个专用表:filter),因此没有理由让 NAT 丢弃流量。它在技术上仍然可行,但无论如何您还必须考虑 NAT 不像其他表那样处理,因为它实际上是conntrack的一部分:在iptables的nat表中只能看到每个新流的第一个数据包,以便为流建立 NAT 规则。其他人不会,它们的处理是由遵循 NAT 规则的conntrack直接完成的(包含在相关的conntrack表中,可以通过该
conntrack命令进行查询)。所以简而言之,你不应该在nat表中丢弃:你应该接受或返回来创建例外,以遵循实际执行 NAT 的规则(从而保持数据包不变,以便继续下一轮),或使用各种可用的 NAT 目标(例如:DNAT、REDIRECT、SNAT、MASQUERADE ...)为此流建立 NAT 规则(这也将使数据包继续到下一轮)。将 DROP 默认策略保留为过滤表中的链。mangle表也可用于丢弃流量,但通常不会为其链配置默认的 DROP 策略。至于我不知道的鲜为人知的安全表,它很少使用,因此很少存在。