Mục tiêu giả trang/tường lửa: tác động đến quá trình lọc?

Tôi đã mở một câu hỏi đây, nhưng khi tôi tìm thấy một số yếu tố mới, tôi muốn mở một cái mới hơn.

Đây là tình huống của tôi, có thể được sao chép:

Hệ điều hành Centos7 mới. Cấu hình 2 interface eth1 và eth2 với địa chỉ ip X và Y

-----------------> @X CENTOS @Y -----------------> @Z -------
    dst_IP = A dst_IP = A
    src_IP = B dst_IP = B

chỉnh sửa /etc/firewalld/zones/TEST.xml, thêm hai giao diện, kích hoạt hóa trang. Mục tiêu tường lửa được đặt thành "mặc định" theo mặc định.

thêm một tuyến đường như sau:

Cổng đích GenMask
A Z 255.255.255.255

Sau đó kích hoạt chuyển tiếp ip hủy kích hoạt rp_filter :

sysctl net.ipv4.ip_forward=1
sysctl net.ipv4.conf.eth1.rp_filter=2
sysctl net.ipv4.conf.eth2.rp_filter=2

Trong tình huống này, nếu tôi định tuyến một gói (@dest=A) tới CentOS, paquet được định tuyến đến Z. -> Tại sao tường lửa không chặn nó? vì không có quy tắc để chấp nhận nó

Nếu tôi tắt masquerade, paquet không được định tuyến nữa. -> Tại sao?

Với giả trang được kích hoạt, nếu tôi thay đổi mục tiêu từ mặc định thành DROP, paquet sẽ không được định tuyến nữa -> Vì vậy, mục tiêu "mặc định" không hoàn toàn giống với mục tiêu "DROP". chính xác những gì là sự khác biệt? Tôi không thể tìm thấy bất kỳ thông tin về điều này

Chính xác hơn:

Cho vấn đề này, Tôi chỉ xem xét thực tế rằng, nghe trên giao diện Centos @Y, các gói được định tuyến hoặc bị hủy. Tôi không tính đến câu trả lời của Z, điều đó không thực sự hoạt động nếu tôi kích hoạt/hủy kích hoạt giả trang trên CentOS mà không điều chỉnh cấu hình Z.

Trong bối cảnh này, điều gì giải thích rằng kích hoạt giả mạo có tác động đến việc các gói được định tuyến có bị tường lửa hủy bỏ hay không trước khi thoát ra trên giao diện @Y? Đối với mục tiêu "mặc định" trong tường lửa?

Bộ quy tắc tường lửa của tôi hoàn toàn trống, tôi đã thực hiện thiết lập này từ một CentOS mới để giải quyết vấn đề này. Không có quy tắc iptables hoặc tường lửa nào được thêm vào.

Đây là kết quả của iptables -L -n và iptables -L -t nat -n :

ĐẦU VÀO chuỗi (chính sách CHẤP NHẬN)
đích prot opt ​​nguồn đích
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0 ctstate LIÊN QUAN, ĐÃ THÀNH LẬP
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0
INPUT_direct tất cả -- 0.0.0.0/0 0.0.0.0/0
INPUT_ZONES_SOURCE tất cả -- 0.0.0.0/0 0.0.0.0/0
INPUT_ZONES tất cả -- 0.0.0.0/0 0.0.0.0/0
DROP tất cả -- 0.0.0.0/0 0.0.0.0/0 ctstate KHÔNG HỢP LỆ
TỪ CHỐI tất cả -- 0.0.0.0/0 0.0.0.0/0 từ chối với icmp-host-bị cấm

Chuỗi FORWARD (chính sách CHẤP NHẬN)
đích prot opt ​​nguồn đích
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0 ctstate LIÊN QUAN, ĐÃ THÀNH LẬP
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0
FORWARD_direct tất cả -- 0.0.0.0/0 0.0.0.0/0
FORWARD_IN_ZONES_SOURCE tất cả -- 0.0.0.0/0 0.0.0.0/0
FORWARD_IN_ZONES tất cả -- 0.0.0.0/0 0.0.0.0/0
FORWARD_OUT_ZONES_SOURCE tất cả -- 0.0.0.0/0 0.0.0.0/0
FORWARD_OUT_ZONES tất cả -- 0.0.0.0/0 0.0.0.0/0
DROP tất cả -- 0.0.0.0/0 0.0.0.0/0 ctstate KHÔNG HỢP LỆ
TỪ CHỐI tất cả -- 0.0.0.0/0 0.0.0.0/0 từ chối với icmp-host-bị cấm

ĐẦU RA chuỗi (chính sách CHẤP NHẬN)
đích prot opt ​​nguồn đích
OUTPUT_direct tất cả -- 0.0.0.0/0 0.0.0.0/0

Chuỗi FORWARD_IN_ZONES (1 tham chiếu)
đích prot opt ​​nguồn đích
FWDI_TEST tất cả -- 0.0.0.0/0 0.0.0.0/0 [xem]
FWDI_TEST tất cả -- 0.0.0.0/0 0.0.0.0/0 [xem]

Chuỗi FORWARD_IN_ZONES_SOURCE (1 tham chiếu)
đích prot opt ​​nguồn đích

Chuỗi FORWARD_OUT_ZONES (1 tham chiếu)
đích prot opt ​​nguồn đích
FWDO_TEST tất cả -- 0.0.0.0/0 0.0.0.0/0 [xem]
FWDO_TEST tất cả -- 0.0.0.0/0 0.0.0.0/0 [xem]

Chuỗi FORWARD_OUT_ZONES_SOURCE (1 tham chiếu)
đích prot opt ​​nguồn đích

Chuỗi FORWARD_direct (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích


Chuỗi FWDI_TEST (2 tài liệu tham khảo)
đích prot opt ​​nguồn đích
FWDI_TEST_log tất cả -- 0.0.0.0/0 0.0.0.0/0
FWDI_TEST_từ chối tất cả -- 0.0.0.0/0 0.0.0.0/0
FWDI_TEST_allow tất cả -- 0.0.0.0/0 0.0.0.0/0
CHẤP NHẬN icmp -- 0.0.0.0/0 0.0.0.0/0

Chuỗi FWDI_TEST_allow (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích

Chuỗi FWDI_TEST_deny (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích

Chuỗi FWDI_TEST_log (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích

Chuỗi FWDO_TEST (2 tài liệu tham khảo)
đích prot opt ​​nguồn đích
FWDO_TEST_log tất cả -- 0.0.0.0/0 0.0.0.0/0
FWDO_TEST_từ chối tất cả -- 0.0.0.0/0 0.0.0.0/0
FWDO_TEST_allow tất cả -- 0.0.0.0/0 0.0.0.0/0

Chuỗi FWDO_TEST_allow (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích
CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0 ctstate MỚI

Chuỗi FWDO_TEST_deny (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích

Chuỗi FWDO_TEST_log (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích

Chuỗi INPUT_ZONES (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích
IN_TEST tất cả -- 0.0.0.0/0 0.0.0.0/0 [goto]
IN_TEST tất cả -- 0.0.0.0/0 0.0.0.0/0 [goto]

Chuỗi INPUT_ZONES_SOURCE (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích

Chuỗi INPUT_direct (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích


Chuỗi IN_TEST (2 tham chiếu)
đích prot opt ​​nguồn đích
IN_TEST_log tất cả -- 0.0.0.0/0 0.0.0.0/0
IN_TEST_từ chối tất cả -- 0.0.0.0/0 0.0.0.0/0
IN_TEST_cho phép tất cả -- 0.0.0.0/0 0.0.0.0/0
CHẤP NHẬN icmp -- 0.0.0.0/0 0.0.0.0/0

Chuỗi IN_TEST_allow (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích

Chuỗi IN_TEST_deny (1 tham chiếu)
đích prot opt ​​nguồn đích

Chuỗi IN_TEST_log (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích

Chuỗi OUTPUT_direct (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích



PREROUTING chuỗi (CHẤP NHẬN chính sách)
đích prot opt ​​nguồn đích
PREROUTING_direct all -- 0.0.0.0/0 0.0.0.0/0
PREROUTING_ZONES_SOURCE tất cả -- 0.0.0.0/0 0.0.0.0/0
PREROUTING_ZONES tất cả -- 0.0.0.0/0 0.0.0.0/0

ĐẦU VÀO chuỗi (chính sách CHẤP NHẬN)
đích prot opt ​​nguồn đích

ĐẦU RA chuỗi (chính sách CHẤP NHẬN)
đích prot opt ​​nguồn đích
OUTPUT_direct tất cả -- 0.0.0.0/0 0.0.0.0/0

Chuỗi POSTROUTING (CHẤP NHẬN chính sách)
đích prot opt ​​nguồn đích
POSTROUTING_direct tất cả -- 0.0.0.0/0 0.0.0.0/0
POSTROUTING_ZONES_SOURCE tất cả -- 0.0.0.0/0 0.0.0.0/0
POSTROUTING_ZONES tất cả -- 0.0.0.0/0 0.0.0.0/0

Chuỗi OUTPUT_direct (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích

Chuỗi POSTROUTING_ZONES (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích
POST_TEST tất cả -- 0.0.0.0/0 0.0.0.0/0 [goto]
POST_TEST tất cả -- 0.0.0.0/0 0.0.0.0/0 [goto]

Chuỗi POSTROUTING_ZONES_SOURCE (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích

Chuỗi POSTROUTING_direct (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích

Chuỗi POST_TEST (2 tài liệu tham khảo)
đích prot opt ​​nguồn đích
POST_TEST_log tất cả -- 0.0.0.0/0 0.0.0.0/0
POST_TEST_từ chối tất cả -- 0.0.0.0/0 0.0.0.0/0
POST_TEST_allow tất cả -- 0.0.0.0/0 0.0.0.0/0

Chuỗi POST_TEST_allow (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích
GIẢ MẠO tất cả -- 0.0.0.0/0 0.0.0.0/0

Chuỗi POST_TEST_deny (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích

Chuỗi POST_TEST_log (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích

Chuỗi PREROUTING_ZONES (1 tham chiếu)
đích prot opt ​​nguồn đích
PRE_TEST tất cả -- 0.0.0.0/0 0.0.0.0/0 [goto]
PRE_TEST tất cả -- 0.0.0.0/0 0.0.0.0/0 [goto]

Chuỗi PREROUTING_ZONES_SOURCE (1 tham chiếu)
đích prot opt ​​nguồn đích

Chuỗi PREROUTING_direct (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích

Chuỗi PRE_TEST (2 tài liệu tham khảo)
đích prot opt ​​nguồn đích
PRE_TEST_log tất cả -- 0.0.0.0/0 0.0.0.0/0
PRE_TEST_từ chối tất cả -- 0.0.0.0/0 0.0.0.0/0
PRE_TEST_allow tất cả -- 0.0.0.0/0 0.0.0.0/0

Chuỗi PRE_TEST_allow (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích

Chuỗi PRE_TEST_deny (1 tham chiếu)
đích prot opt ​​nguồn đích

Chuỗi PRE_TEST_log (1 tài liệu tham khảo)
đích prot opt ​​nguồn đích

Trước hết, bạn đang kích hoạt rp_filtervà không hủy kích hoạt nó (để hủy kích hoạt, bạn sẽ phải đặt nó thành 0).

Thông tin về Lọc đường dẫn ngược.

Một câu hỏi được trả lời dễ dàng: không có giả mạo, bộ định tuyến đích sẽ thấy IP nguồn của B, nhưng không có tuyến đường chính xác để gửi câu trả lời. Do điều này và quá trình lọc đường ngược lại, gói bị loại bỏ.

Thứ hai, bạn phải phân biệt giữa tường lửa và tường lửa chuyển tiếp. Một cái dành cho các gói có một trong các IP giao diện là dst / src ip (có nghĩa là đến từ / đi đến thiết bị!) và cái kia dành cho các gói chỉ đi qua thiết bị.

Vậy chuyện gì đang xảy ra? CentOS của bạn nhìn thấy một gói có IP nguồn B, IP đích A và đang cố chuyển tiếp gói đó. Để làm điều này, nó xem xét bảng định tuyến của nó - Có một tuyến đang hoạt động, rằng tất cả các gói dành cho Đích A phải đi qua bộ định tuyến Z.

Bây giờ, việc giả mạo có hiệu lực - IP nguồn B được thay thế bằng Y và gói được chuyển tiếp đến Z - vẫn với IP đích A!

Tôi chỉ có thể đoán tường lửa làm gì - bạn phải đăng bộ quy tắc tường lửa hoàn chỉnh của mình để có bức tranh hoàn chỉnh - nhưng tôi đoán là bạn đang nhầm lẫn giữa "định tuyến qua Z" với "Đích đến Z". Cái sau có thể sẽ bị loại bỏ, cái đầu tiên thì không.

Vui lòng đăng bộ quy tắc tường lửa hoàn chỉnh của bạn để có câu trả lời cuối cùng!