บรรจวบ เข้าสู่ระบบ
Score:0
avatar Server

iptables: แก้ไขการไหลของเอาต์พุต

ธง cn
r0b0tr0n

เมื่อฉันติดตามแพ็กเก็ตเอาต์พุตดิบจากแอปพลิเคชันเฉพาะ ฉันได้รับเอาต์พุตต่อไปนี้โดยที่อยู่ปลายทางของแพ็กเก็ตเปลี่ยนจาก 10.10.20.20 เป็น 127.1.1.1 อย่างน่าอัศจรรย์ มีวิธีใดที่จะข้ามสิ่งนี้โดยรับแพ็กเก็ตดิบ "ตามสภาพ" ไปยังเอาต์พุตหรือไม่

ติดตาม id fd9543bc ip raw OUTPUT packet: oif "br0" ip saddr 10.10.10.10 ip daddr 10.10.20.20 ip dscp cs0 ip ecn not-ect ip ttl 64 ip id 26448 ip length 60 tcp sport 34188 tcp sync dport flags 80 tcp == หน้าต่าง tcp 64240
รหัสการติดตาม fd9543bc ip raw OUTPUT rule meta l4proto tcp ip daddr 10.10.20.20 counter packets 52 bytes 4540 meta nftrace set 1 (คำตัดสินดำเนินการต่อ)
ติดตาม id fd9543bc ip raw OUTPUT คำตัดสินดำเนินการต่อ
ติดตาม id fd9543bc ip raw นโยบายเอาต์พุตยอมรับ
ติดตาม id fd9543bc ตัวกรอง ip แพ็คเก็ตเอาต์พุต: oif "br0" ip saddr 10.10.10.10 ip daddr 127.1.1.1 ip dscp cs0 ip ecn ไม่ ect ip ttl 64 ip id 26448 ความยาวของ ip 60 tcp sport 34188 tcp dport 8080 tcp sync flags == หน้าต่าง tcp 64240
ติดตาม id fd9543bc กรอง ip คำตัดสิน OUTPUT ดำเนินการต่อ
นโยบายการติดตาม id fd9543bc ip filter OUTPUT ยอมรับ
ติดตาม id fd9543bc inet แพ็คเก็ตเอาต์พุตกรอง: oif "br0" ip saddr 10.10.10.10 ip daddr 127.1.1.1 ip dscp cs0 ip ecn ไม่ ect ip ttl 64 ip id 26448 โปรโตคอล ip tcp ความยาว ip 60 tcp sport 34188 tcp dport 8080 ธง == ซิงค์ tcp หน้าต่าง 64240
ติดตาม id fd9543bc inet กรองผลการตัดสินดำเนินการต่อ
รหัสการติดตาม fd9543bc inet ยอมรับนโยบายเอาต์พุตตัวกรอง

เอาต์พุตบันทึก iptables

# สร้างโดย iptables-save v1.8.7 เมื่อพฤศจิกายน 18 22:40:01 2021
*แนท
: ยอมรับ [14:1295]
: ยอมรับอินพุต [14:1295]
: เอาต์พุตยอมรับ [2:196]
:หลังยอมรับ [4:316]
-A PREROUTING -i ens192 -p tcp -m tcp --dport 80 -j DNAT --to-ปลายทาง 127.1.1.1:8080
ให้สัญญา
# เสร็จสิ้นเมื่อ พฤ. 18 พ.ย. 22:40:01 น. 2564
# สร้างโดย iptables-save v1.8.7 เมื่อพฤศจิกายน 18 22:40:01 2021
* แหลกเหลว
: กำลังดำเนินการยอมรับ [15:1154]
: ยอมรับอินพุต [172:24172]
:ส่งต่อ ยอมรับ [0:0]
: ยอมรับเอาต์พุต [222:44999]
:หลังยอมรับ [222:44999]
:DIVERT - [0:0]
-A PREROUTING -p tcp -m ซ็อกเก็ต -j DIVERT
-A DIVERT -j MARK --set-xmark 0x1/0xffffffff
-A DIVERT -j ยอมรับ
ให้สัญญา
# เสร็จสิ้นเมื่อ พฤ. 18 พ.ย. 22:40:01 น. 2564
55
0 + 0
Nikita Kipriyanov avatar
za flag
Nikita Kipriyanov
ดูเหมือนว่ากฎ 'REDIRECT' กำลังทำงาน โปรดแสดง `iptables-save` ที่สมบูรณ์ของคุณ
0
ตอบกลับ
A.B avatar
cl flag
A.B
ดูคำถามที่ใหม่กว่าของ OP: https://serverfault.com/questions/1083764/stunnel-outgoing-packets-strangely-modified
0
ตอบกลับ
Nikita Kipriyanov avatar
za flag
Nikita Kipriyanov
ตกลง คุณมีกฎ DNAT และทำงานได้ตรงตามที่ควร มันแปลที่อยู่ คุณช่วยอธิบายว่าทุกอย่างควรจะทำงานอย่างไร ตัวอย่างเช่น หากแพ็กเก็ตเฉพาะบางแพ็กเก็ตไม่ควรเป็น DNATed แพ็กเก็ตใด นอกจากนี้ คุณมีกฎบางอย่างที่ใช้โดยทั่วไปสำหรับการตั้งค่าพร็อกซีแบบโปร่งใส แต่ไม่มีกฎ TPROXY ขั้นสุดท้าย และมีกฎ DNAT ซึ่งไม่ได้ใช้ในการตั้งค่าดังกล่าว มีไว้เพื่ออะไร
0
ตอบกลับ
cn flag
r0b0tr0n
ฉันได้อธิบายการตั้งค่าทั้งหมดในคำถามอื่นของฉันแล้ว (https://serverfault.com/questions/1083764/stunnel-outgoing-packets-strangely-modified) ที่นี่ฉันต้องการหารือเกี่ยวกับความเป็นไปได้ที่จะเก็บแพ็กเก็ตที่เห็นตาราง "ดิบ" ในห่วงโซ่ OUTPUT ตามที่เป็นอยู่และไม่ได้รับการแก้ไข
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา