酷!學園
2010-09-03 13:12 *
歡迎光臨, 訪客. 請先 登入註冊一個帳號.
您忘了 啟用您的帳號嗎?

請輸入帳號, 密碼以及預計登入時間
新聞:
強烈建議,新手請先閱讀:致提問者的一些建議再致提問者
 
   首頁 | Study-Area | 鳥園 | 鳥哥的Linux私房菜   說明 搜尋 日曆 登入 註冊  
酷!學園 > 技術討論區 > Linux 討論版 > 主題: IP僞裝
頁: [1]
« 上篇主題 下篇主題 »
  列印  
作者 主題: IP僞裝  (閱讀 3513 次)
0 會員 以及 1 訪客 正在閱讀本篇主題.
apachectl
憂鬱的高中生
***
文章: 157


檢視個人資料
« 於: 2004-11-02 01:49 »
看了最近有人討論policy中INPUT 設定DROP的問題,我也自己設定看看,
iptables -P INPUT DROP,其他ACCEPT
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE

結果client端都能透過NAT出去,也能順利得到回應。我本來以為不行,因為覺得
回應的封包應該會被檔在外面進不來,我沒設定
iptables -A INPUT -i ppp0 -j ACCEPT
但實際上卻可以進來,我就很納悶為何會這樣?請幫我澄清一下觀念,謝謝!
已記錄
dean
管理員
俺是博士!
*****
會員性別: 男
文章: 1190



檢視個人資料
« 回覆文章 #1 於: 2004-11-02 03:45 »
假設LAN內某host為192.168.1.1 ,要連到 61.62.63.64 的 host,nat WAN ip為71.72.73.74, LAN ip 為 192.168.1.254
封包從192.168.1.1出來, 目的為61.62.63.64,透過192.168.1.254介面進nat.PREROUTING, 該機器看到該封包的目的為 61.62.63.64並非本機(192.168.1.254),所以走FORWARD的鍊後,到達nat.POSTROUTING,在nat.POSTROUTING改寫source ip(192.168.1.1 改為71.72.73.74),並將對應關係記錄起來,然後封包送出後變成target=61.62.63.64,source=71.72.73.74...遠端封包回來時,會先進nat.PREROUTING, nat查到先前記錄的對應關係,知道該回應封包要轉進host 192.168.1.1,所以會把目的ip改為192.168.1.1而不再是本機的71.72.73.74,所以一樣會走FORWARD 再經過nat.POSTROUTING後進到LAN的192.168.1.1..
所以前前後後和 filter.INPUT 無關;但和 filter.FORWARD有關..
已記錄
ericshei
全區板主
俺是博士!
*****
文章: 2256


檢視個人資料
« 回覆文章 #2 於: 2004-11-02 08:54 »
INPUT chain是作用在"目標"為本機(設iptables的那台)的封包上,而底下Client的封包只是"經過"它,到internet,所以INPUT Chain並不會發生作用.

請參考:
http://phorum.vbird.org/viewtopic.php?t=3480
已記錄
apachectl
憂鬱的高中生
***
文章: 157


檢視個人資料
« 回覆文章 #3 於: 2004-11-02 11:41 »
感恩啊,謝謝大大熱心的回答。
已記錄
apachectl
憂鬱的高中生
***
文章: 157


檢視個人資料
« 回覆文章 #4 於: 2004-11-02 15:49 »
又遇到問題了,這次是在 nat 後方架一台mail server,防火牆規則一樣是設
iptables -P INPUT DROP ,其餘都設ACCEPT
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -i ppp0 -p tcp -d 61.231.106.203 --dport 25 \
-j DNAT --to 192.168.1.2:25
iptables -t nat -A PREROUTING -i ppp0 -p tcp -d 61.231.106.203 --dport 110 \
-j DNAT --to 192.168.1.2:110
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP
外部可透過這台mail收發信件,而內部同網段的client其smtp及pop3 server都
指定192.168.1.2也可正常收發,但現在若將smtp及pop3改成hostname則無法
收發,我的hostname 在internet解析的出來。
不曉得又是少設了什麼規則?
已記錄
jou
酷!學園 學長們
俺是博士!
*****
會員性別: 男
文章: 4785


檢視個人資料
« 回覆文章 #5 於: 2004-11-02 16:06 »
會不會又是 ICMP 的 redirect 功能啟動,封包轉向,導致連線不正常?
已記錄
apachectl
憂鬱的高中生
***
文章: 157


檢視個人資料
« 回覆文章 #6 於: 2004-11-02 18:23 »
引用自: "jou"
會不會又是 ICMP 的 redirect 功能啟動,封包轉向,導致連線不正常?

什麼意思?看不懂,能不能解釋一下啊,謝謝!
已記錄
dean
管理員
俺是博士!
*****
會員性別: 男
文章: 1190



檢視個人資料
« 回覆文章 #7 於: 2004-11-02 21:08 »
在LAN 的 client上 nslookup可以解出smtp 或 pop3的ip為192.168.1.2嗎?
已記錄
ericshei
全區板主
俺是博士!
*****
文章: 2256


檢視個人資料
« 回覆文章 #8 於: 2004-11-02 21:34 »
引用自: "apachectl"
引用自: "jou"
會不會又是 ICMP 的 redirect 功能啟動,封包轉向,導致連線不正常?

什麼意思?看不懂,能不能解釋一下啊,謝謝!


http://www.study-area.org/linux/servers/linux_nat.htm#icmp
已記錄
頁: [1]
  列印  
酷!學園 > 技術討論區 > Linux 討論版 > 主題: IP僞裝
 « 上篇主題 下篇主題 »
 
前往:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.11 | SMF © 2006, Simple Machines LLC Valid XHTML 1.0! Valid CSS!
本頁花了 0.059 秒,以及 15 次的資料庫查詢。