ROS防火墙规则丢弃的连接依然能被NAT转发

喵了个咪 · 发表于 2019-12-22 18:27:06

马上注册成为ROSABC会员，随时发帖回复。

您需要登录才可以下载或查看，没有账号？会员注册

x

本帖最后由喵了个咪于 2019-12-22 18:38 编辑

RT
这样就造成了防火墙设置的black_list无效的问题，被拉黑的IP依然可以访问NAT映射的地址
QQ截图20191222183131.jpg

更新> 因为nat表优先级比较高所以是先进过转发再到过滤表的，把过滤表规则改为转发可实现

小小虎 · 发表于 2019-12-23 22:13:08

本帖最后由小小虎于 2019-12-23 22:55 编辑

准确的说：数据包先NAT地址转换，再进入转发forward链表，所以应该forward链表上做过滤规则。下面我们来来看看如果想过滤NAT的数据是不是应该在forward链表上做过滤规则：

配合上面两图，可知端口映射的数据先进入prerouting，在prerouting的最后一步做了dst-nat，此时目的地址已经由dst-nat转换为内部私有地址，然后进入routing-decision，routing-decision决定这个数据包是进入input链还是forward链，由于routing-decision发现目的地址已经变为了内部私有地址，所以把要把数据包从另一个接口发到内部私网上，所以要进入forward链。所以如果想过滤NAT数据，就在forward链上过滤，而错误的在input链上过滤就一点效果没有，因为数据包完全绕过了input，从上图就能看清的很明白。

sk811229 · 发表于 2019-12-24 10:08:17

小小虎发表于 2019-12-23 22:13
准确的说：数据包先NAT地址转换，再进入转发forward链表，所以应该forward链表上做过滤规则。下面我们来来 ...

牛人。。。

lywkj · 发表于 2020-3-3 04:01:04

怎么改啊。。

		自动登录	找回密码
密码			会员注册

[求助] ROS防火墙规则丢弃的连接依然能被NAT转发

马上注册成为ROSABC会员，随时发帖回复。

浏览过的版块