Score:0

ฉันควรทำการจับคู่สถานะกับ iptables สำหรับตาราง nat หรือไม่

ธง gd

ฉันมักจะเห็นว่ามีกฎการจับคู่สถานะในห่วงโซ่ของ iptables เช่น INPUT

ฉันรู้ว่าพวกเขากำลังทำอะไร และฉันก็สนใจสิ่งนั้น

ฉันควรทำเช่นเดียวกันกับกลุ่มของตาราง NAT หรือไม่

ตัวอย่างเช่น ในเราเตอร์ที่บ้านของฉัน ฉันต้องการให้ยอมรับ ssh และทำหน้าที่เป็นเราเตอร์ NAT ด้วย

ถ้าเรามี:

-A INPUT -m state --สถานะที่เกี่ยวข้อง,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ยอมรับ

ฉันควรปฏิบัติตามเพื่อประสิทธิภาพที่ดีขึ้นหรือไม่?

-t nat -A POSTROUTING -m state --state ที่เกี่ยวข้อง,ESTABLISHED -j MASQUERADE

-t nat -A POSTROUTING -s 192.168.1.0/24 -o wan0 -m state --state NEW -j MASQUERADE

ฉันเดาว่าฉันควร ไม่ ทำเช่นเดียวกันกับโซ่ POSTROUTING แต่ ควร สำหรับกองหน้า

ขอบคุณ!

Score:1
ธง za

ไม่ คุณไม่ต้องการสิ่งนั้น

กฎ Dynamic NAT จะใช้ตาราง conntrack เสมอ ดังนั้นสิ่งนี้จึงไร้ประโยชน์ (และผิด) เดอะ แนท ตารางจะผ่านโดยเท่านั้น แรก แพ็กเก็ตของการเชื่อมต่อ ดังนั้นจะเห็นเท่านั้น --ctstate ใหม่ แพ็คเก็ต มันไม่เคยเห็น --ctstate ก่อตั้งขึ้น แพ็กเก็ต เนื่องจากสิ่งเหล่านี้ไม่ข้ามกฎ หากพบแพ็กเก็ตในตาราง nat ของตัวติดตามการเชื่อมต่อ จะมีการใช้การแปลที่บันทึกไว้และดำเนินการต่อในตารางถัดไป

การพิจารณาสถานะการเชื่อมต่อดูเหมือนจะมีประโยชน์ใน ซึ่งไปข้างหน้า โซ่ไม่อยู่ใน การเตรียมการ หรือ โพสต์ดังนั้นใช้ใน ตัวกรองไปข้างหน้า หรือ FORWARD บดบัง ตาราง

หมายเหตุเพิ่มเติม: สถานะ โมดูลการจับคู่ล้าสมัยและถูกลบออกจากเคอร์เนล มีการดำเนินการจับคู่จริงกับ คอนแทรค โมดูล.ในความคิดของฉัน ควรใช้อย่างชัดเจนจะดีกว่า ดังนั้นควรใช้เสมอ -m conntrack --ctstate ... ค่อนข้างเป็นอย่างนั้น -m สถานะ.

Leon avatar
gd flag
ขอบคุณมาก!!!

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา