o iptables executa um SNAT automaticamente para o pacote de resposta, se é que acontece quando isso acontece?

2

Vamos supor que temos um roteador que tenha ip interno (192.168.1.1) e ip externo (192.0.2.5) e um computador atrás do roteador que tenha ip interno (192.168.1.100). E o roteador já configurou o IP de origem do MASQUARADE para que o usuário possa acessar a internet.

E eu estou vagando quando o pedido do usuário da resposta do servidor de Internet com um pacote (SRC: 8.8.8.8- > DST: 192.0.2.5) e este pacote entra no iptables mas nenhuma regra foi configurada para DNAT de volta ao usuário ip, como o usuário ainda recebe a resposta?

E eu tenho o Google, alguém disse que é DNATed automaticamente pelo Netfilter, eu estou vagando, se é verdade ou não, e se é verdade, quando é que este Hidden-DNAT realizado, é realizado quando o pacote chegou tabela FILTER ou mesa NAT ou outra coisa? E depois que ele for DNATed, ele entrará na tabela INPUT do FILTER ou na tabela FORWARD?

    
por Zhizhang Deng 19.05.2017 / 10:37

1 resposta

0

O Netfilter mantém informações de rastreamento sobre o que você envia para a meta MASQUERADE . Quando as respostas correspondentes (pacotes) são recebidas, elas estão sujeitas à tabela nat . O caminho para pacotes de entrada que se movem pela tabela nat é o seguinte:

1. ingress at router external interface
2. nat - PREROUTING
    a. convert external IP to internal IP
3. nat - POSTROUTING
4. egress at router internal interface
5. ingress at internal computer interface

O DNAT é executado na cadeia PREROUTING da tabela nat . Se a fonte original dos pacotes for um computador interno em sua LAN, os pacotes não passarão pela tabela filter do roteador porque são reconhecidos como pacotes NAT 'anterior com base em seus IPs de origem e de destino. No entanto, se o seu roteador era a fonte original e os pacotes são destinados ao próprio roteador, eles passariam pela tabela filter do roteador.

    
por 03.07.2017 / 01:30