นโยบายห่วงโซ่ INPUT และ OUTPUT ถูกตั้งค่าเป็น DROP กฎน้อยมากที่อนุญาตเฉพาะทราฟฟิกระหว่างอุปกรณ์ที่เชื่อมต่อด้วยสายเคเบิลโดยตรง อย่างไรก็ตาม หากฉันเพิ่มสายเคเบิลที่ไปยังเราเตอร์ชั่วคราว เหตุใดฉันจึงสามารถเริ่มการเชื่อมต่อขาออกและได้รับคำตอบ เช่น การปรับปรุงที่เหมาะสมแม้ว่าจะไม่มีกฎอนุญาตการรับส่งข้อมูล HTTP ของเรา?
ฉันได้สังเกตว่าถ้าฉันเพิ่ม iptables -P ไปข้างหน้าลดลง จากนั้นการเชื่อมต่อขาออกเหล่านั้นจะไม่ทำงานอีกต่อไป เหตุใดห่วงโซ่ FORWARD จึงมีผลกระทบในเรื่องนี้
ราสเบอร์รี่ปี่:~ $ sudo iptables -nvL
Chain INPUT (นโยบาย DROP 332 แพ็คเก็ต, 244K ไบต์)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
0 0 ยอมรับทั้งหมด -- จริง * 0.0.0.0/0 0.0.0.0/0
1254 79084 ยอมรับ tcp -- * * 66.66.66.5 66.66.66.3 tcp dpt:21385 ctstate ใหม่ ก่อตั้งแล้ว
1453 2495K ยอมรับทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ที่เกี่ยวข้อง ก่อตั้ง
เชน FORWARD (นโยบายยอมรับ 0 แพ็กเก็ต 0 ไบต์)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
Chain OUTPUT (นโยบาย DROP 373 แพ็คเก็ต, 47731 ไบต์)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
1715 162K ยอมรับ tcp -- * * 99.99.99.3 99.99.99.2 tcp dpt:5656
6 456 ยอมรับ udp -- * * 99.99.99.3 99.99.99.2 udp dpt:123
952 156K ยอมรับทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ที่เกี่ยวข้อง ก่อตั้ง
คำถามรอง: มีความเสี่ยงในการใช้ที่อยู่ IP ที่จดจำได้ง่ายระหว่างอุปกรณ์ภายในและอุปกรณ์ที่เชื่อมต่อด้วยสายเคเบิลโดยตรงหรือไม่ แพ็กเก็ตอาจรั่วไหลหรือไม่ เนื่องจากเป็นที่อยู่สาธารณะที่ถูกต้อง
แก้ไข: เพิ่มข้อมูลที่ร้องขอ
เรากำลังพูดถึงอุปกรณ์ "Raspi Client"
ผลลัพธ์ของ iptables-บันทึก:
raspberrypi:~ $ sudo iptables-บันทึก
# สร้างโดย xtables-save v1.8.2 เมื่อวันพุธที่ 19 มกราคม 10:42:58 น. 2565
*แนท
: ยอมรับ [529:48304]
: ยอมรับอินพุต [7:420]
:หลังยอมรับ [2465:187164]
: ยอมรับเอาต์พุต [2804:242065]
:นักเทียบท่า - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A โพสต์ -s 172.17.0.0/16 ! -o docker0 -j สวมหน้ากาก
-A เอาท์พุท ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A นักเทียบท่า -i นักเทียบท่า 0 -j ผลตอบแทน
ให้สัญญา
# เสร็จสิ้นวันพุธที่ 19 มกราคม 10:42:58 น. 2565
# สร้างโดย xtables-save v1.8.2 เมื่อวันพุธที่ 19 มกราคม 10:42:58 น. 2565
*กรอง
:INPUT DROP [607:267621]
:ส่งต่อ ยอมรับ [0:0]
:เอาท์พุทลดลง [394:50896]
-A อินพุต -i lo -j ยอมรับ
-อินพุต -s 66.66.66.5/32 -d 66.66.66.3/32 -p tcp -m tcp --dport 21385 -m conntrack --ctstate ใหม่ ก่อตั้ง -j ยอมรับ
-A INPUT -m conntrack --ctstate ที่เกี่ยวข้อง ก่อตั้ง -j ยอมรับ
-A OUTPUT -s 99.99.99.3/32 -d 99.99.99.2/32 -p tcp -m tcp --dport 5656 -j ยอมรับ
-A OUTPUT -s 99.99.99.3/32 -d 99.99.99.2/32 -p udp -m udp --dport 123 -j ยอมรับ
-A OUTPUT -m conntrack --ctstate ที่เกี่ยวข้อง ก่อตั้ง -j ยอมรับ
ให้สัญญา
# เสร็จสิ้นวันพุธที่ 19 มกราคม 10:42:58 น. 2565
ป้อนข้อมูล และ เอาต์พุต โซ่ครอบคลุมการสื่อสารที่ต้นทางหรือปลายทางของทราฟฟิกคือเราเตอร์
ซึ่งไปข้างหน้า ครอบคลุมการรับส่งข้อมูลที่เราเตอร์ส่งต่อจากอินเทอร์เฟซหนึ่งไปยังอีกอินเทอร์เฟซหนึ่ง (จากพอร์ต LAN ไปยังพอร์ต WAN และในทางกลับกัน
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
