Qual é o destino do pacote ip de origem falsificado em termos das cadeias de netfilters?

1

Bom dia a todos.

Vamos supor a próxima configuração: temos um roteador com um endereço IP público 1.2.3.4 (interface externa - wan).

Se por algum motivo o roteador receber um pacote com um endereço IP de origem falsificado que é o mesmo que o endereço público de nossa interface externa, em termos de subsistema netfilter, a que cadeia este pacote será atribuído?

O endereço IP de destino deste pacote pode ser qualquer coisa, lan interna / outro endereço externo.

Este pacote será considerado como o pacote de saída do próprio roteador (cadeia OUTPUT) ou o pacote encaminhado (cadeia FORWARD)?

    
por excanoe 31.08.2016 / 15:37

1 resposta

0

Se o endereço de destino arbitrário não for o mesmo que o roteador e o sistema de roteamento do seu roteador tomou a decisão (com base no endereço de destino do pacote) de encaminhá-lo, o pacote passará pelo FORWARD cadeia da tabela filter .

Para obter um pacote na cadeia OUTPUT , seu roteador deve ter criado o pacote sozinho. Nos tempos antigos, com ipchains , o comportamento era diferente. Se você não tentar coisas extravagantes com iptables , como NFQUEUE ing o pacote falsificado para userspace e escrever sua própria ferramenta que encaminha o pacote do userspace (do ponto de vista do kernel: gerando um novo pacote), pacote que você está falando nunca deve acabar na cadeia OUTPUT .

Note que o rp_filter (filtro de caminho inverso) do seu kernel pode já descarta o pacote falsificado antes de atingir a cadeia FORWARD da tabela filter .

Além disso, observe: algumas pessoas preferem implementar as regras de proteção contra falsificação antes da decisão de roteamento, ou seja, na cadeia PREROUTING da tabela raw .

    
por 01.09.2016 / 11:53