Làm thế nào để "DROP allwhere" trong bảng FORWARD không khiến bộ định tuyến của tôi trở nên vô dụng?

M-Pixel

18:33, 10/03/2023

Gần đây, tôi đã biết về IPTables và định tuyến IP để định cấu hình máy tính một bo mạch nhằm cách ly một máy cụ thể khỏi phần còn lại của mạng của tôi, trong khi vẫn cho phép máy đó truy cập Internet, trong số một số quy tắc khác.

Tôi quyết định sử dụng kiến thức mới này để tăng cường bảo mật cho các thiết bị đa phương tiện được nhúng của mình (và có thể ngăn chúng hiển thị quảng cáo và báo cáo từ xa). Tôi có một bộ định tuyến ASUS cũ với phần sụn Merlin trong tủ, vì vậy tôi đã thiết lập nó và SSH hoạt động.

Không giống như tường lửa dựa trên SBC trước đây của tôi, có bản cài đặt Ubuntu mới và một phương tiện chặn trống trong iptables, bộ định tuyến ASUS đi kèm với một số quy tắc được xác định sẵn và bảng FORWARD khiến tôi hơi bối rối:

Chuỗi FORWARD (chính sách DROP)
đích prot opt nguồn đích
CHẤP NHẬN tất cả -- mọi nơi mọi nơi có trạng thái LIÊN QUAN,THÀNH LẬP
DROP all -- mọi nơi mọi nơi
DROP all -- mọi nơi mọi nơi có trạng thái KHÔNG HỢP LỆ
CHẤP NHẬN tất cả -- mọi nơi mọi nơi
CHẤP NHẬN tất cả -- mọi nơi mọi nơi ctstate DNAT
CHẤP NHẬN tất cả -- mọi nơi mọi nơi

Theo hiểu biết của tôi, điều này sẽ ngăn bộ định tuyến hoạt động như bình thường. Ví dụ: nếu TV muốn bắt đầu một yêu cầu tới Netflix, thì bộ định tuyến sẽ thấy rằng gói đến từ NIC #2 và được dành cho NIC WAN - không phải cho bất kỳ quy trình nội bộ nào - và do đó phải được đưa qua bảng FORWARD. Quy tắc đầu tiên không nên áp dụng vì gói mới - chưa có bất kỳ câu trả lời nào cho trạng thái LIÊN QUAN hoặc ĐÃ THÀNH LẬP. Quy tắc tiếp theo... nên bỏ nó. Vì vậy, gói không đến được Netflix và không có gì xảy ra.

Trên thực tế, đối với tôi, điều này có vẻ như nó sẽ ngăn chặn mọi thứ và mọi thứ không phải là giao tiếp trực tiếp giữa chính bộ định tuyến (ví dụ: giao diện quản trị viên). Nhưng đó chắc chắn không phải là trường hợp, vì các thiết bị đính kèm đang truy cập internet mà không gặp sự cố. Vì vậy, rõ ràng có một cái gì đó tôi đang thiếu. Bộ định tuyến ASUS không sử dụng bảng FORWARD? Hay các quy tắc không được đánh giá từ trên xuống dưới? Tại sao không bảng FORWARD ở trên ngăn ngừa bộ định tuyến của tôi hoạt động bình thường như một công tắc?

123

0 + 0

iptables

asus

Tero Kilkanen

20:32, 10/03/2023

Danh sách quy tắc IPTables của bạn thiếu thông tin giao diện cho từng quy tắc. Nhiều khả năng các quy tắc DROP dành cho lưu lượng truy cập qua giao diện WAN. Vui lòng thêm đầu ra của `iptables -vL` vào câu hỏi.

Hồi đáp

Ginnungagap

21:13, 10/03/2023

Bạn có chắc các thiết bị đang chạy IPv4 không?

Hồi đáp

M-Pixel

21:14, 10/03/2023

@TeroKilkanen Đó chính xác là những gì đang diễn ra! Tôi nghĩ thật kỳ lạ khi nó có nhiều quy tắc dường như giống hệt nhau. Từ Ubuntu, tôi đã quen với `iptables -S`, hiển thị toàn bộ dòng lệnh tương đương cho mỗi quy tắc, nhưng phiên bản ASUS OS 'không có. Hãy gửi nó như một câu trả lời.

Hồi đáp

Nikita Kipriyanov

07:04, 17/03/2023

Cách đảm bảo duy nhất để biết cấu hình tường lửa hoàn chỉnh là `iptables-save`. Không khó để tìm ra các câu hỏi ngay cả trong ServerFault chỉ phát sinh từ thực tế là người dùng đã sử dụng một số biến thể của `iptables -L` để liệt kê các quy tắc thay vì thực hiện kết xuất thích hợp với `iptables-save`. Sau đó, họ đã nhìn thấy thực tế và câu hỏi biến mất.

Hồi đáp

Điểm:1

Server

Tero Kilkanen

22:27, 10/03/2023

Danh sách quy tắc IPTables của bạn thiếu thông tin giao diện cho từng quy tắc. Nhiều khả năng các quy tắc DROP dành cho lưu lượng truy cập qua giao diện WAN.

iptables-save hoặc iptables -S có thể được sử dụng để hiển thị các lệnh đầy đủ đã tạo ra các quy tắc.

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: How does "DROP all anywhere" in the FORWARD table not render my router useless?

TH: "DROP ทุกที่" ในตาราง FORWARD ไม่ทำให้เราเตอร์ของฉันไร้ประโยชน์ได้อย่างไร

RO: Cum „DROP all anywhere” din tabelul FORWARD nu face routerul meu inutil?

RU: Как «DROP allwhere» в таблице FORWARD не делает мой маршрутизатор бесполезным?

VI: Làm thế nào để "DROP allwhere" trong bảng FORWARD không khiến bộ định tuyến của tôi trở nên vô dụng?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.