Tham gia Đăng nhập
Điểm:0
avatar Server

iptables: sửa đổi luồng đầu ra

lá cờ cn
r0b0tr0n

Khi tôi theo dõi một số gói đầu ra thô từ một ứng dụng cụ thể, tôi nhận được đầu ra sau trong đó địa chỉ đích của gói được thay đổi một cách kỳ diệu từ 10.10.20.20 thành 127.1.1.1. Có cách nào để bỏ qua điều này bằng cách lấy gói thô "nguyên trạng" cho đầu ra không?

theo dõi id fd9543bc gói ip raw OUTPUT: oif "br0" ip saddr 10.10.10.10 ip daddr 10.10.20.20 ip dscp cs0 ip ecn not-ect ip ttl 64 ip id 26448 ip length 60 tcp sport 34188 tcp dport 80 tcp flags == syn cửa sổ tcp 64240
theo dõi id fd9543bc ip raw Quy tắc OUTPUT meta l4proto tcp ip Daddr 10.10.20.20 truy cập gói 52 byte 4540 meta nftrace set 1 (tiếp tục phán quyết)
theo dõi id fd9543bc ip raw OUTPUT phán quyết tiếp tục
theo dõi id fd9543bc ip raw OUTPUT chính sách chấp nhận
theo dõi id fd9543bc bộ lọc ip Gói ĐẦU RA: oif "br0" ip saddr 10.10.10.10 ip daddr 127.1.1.1 ip dscp cs0 ip ecn not-ect ip ttl 64 ip id 26448 ip length 60 tcp sport 34188 tcp dport 8080 tcp flags == syn cửa sổ tcp 64240
theo dõi id fd9543bc bộ lọc ip Phán quyết ĐẦU RA tiếp tục
theo dõi id fd9543bc bộ lọc ip Chính sách OUTPUT chấp nhận
theo dõi id fd9543bc gói đầu ra của bộ lọc inet: oif "br0" ip saddr 10.10.10.10 ip daddr 127.1.1.1 ip dscp cs0 ip ecn not-ect ip ttl 64 ip id 26448 ip giao thức tcp ip chiều dài 60 tcp sport 34188 tcp dport 8080 cờ tcp == cửa sổ tcp đồng bộ 64240
theo dõi id fd9543bc kết quả đầu ra của bộ lọc inet tiếp tục
theo dõi id fd9543bc chấp nhận chính sách đầu ra của bộ lọc inet

iptables-lưu đầu ra

# Được tạo bởi iptables-save v1.8.7 vào Thứ Năm ngày 18 tháng 11 22:40:01 năm 2021
*tự nhiên
: CHẤP NHẬN TRƯỚC [14:1295]
:CHẤP NHẬN ĐẦU VÀO [14:1295]
:CHẤP NHẬN ĐẦU RA [2:196]
:CHẤP NHẬN SAU ĐÓ [4:316]
-A PREROUTING -i ens192 -p tcp -m tcp --dport 80 -j DNAT --to-destination 127.1.1.1:8080
LÀM
# Hoàn thành vào Thứ Năm 18 tháng 11 22:40:01 2021
# Được tạo bởi iptables-save v1.8.7 vào Thứ Năm ngày 18 tháng 11 22:40:01 năm 2021
* mangle
:CHẤP NHẬN TRƯỚC [15:1154]
:CHẤP NHẬN ĐẦU VÀO [172:24172]
:CHẤP NHẬN VỀ PHÍA TRƯỚC [0:0]
:CHẤP NHẬN ĐẦU RA [222:44999]
:CHẤP NHẬN SAU ĐÓ [222:44999]
:CHUYỂN HƯỚNG - [0:0]
-A PREROUTING -p tcp -m ổ cắm -j CHUYỂN ĐỔI
-A CHUYỂN ĐỔI -j MARK --set-xmark 0x1/0xffffffff
-A CHUYỂN ĐỔI -j CHẤP NHẬN
LÀM
# Hoàn thành vào Thứ Năm 18 tháng 11 22:40:01 2021
55
0 + 0
Nikita Kipriyanov avatar
lá cờ za
Nikita Kipriyanov
điều này giống như quy tắc `REDIRECT` đang hoạt động. Vui lòng hiển thị `iptables-save` hoàn chỉnh của bạn.
0
Hồi đáp
A.B avatar
lá cờ cl
A.B
Xem thêm câu hỏi mới hơn của OP: https://serverfault.com/questions/1083764/stunnel-outgoing-packets-strangely-modified
0
Hồi đáp
Nikita Kipriyanov avatar
lá cờ za
Nikita Kipriyanov
Ok, bạn có quy tắc DNAT và nó hoạt động chính xác như bình thường, nó dịch địa chỉ. Bạn có thể vui lòng mô tả làm thế nào mọi thứ được cho là hoạt động? Ví dụ: nếu một số gói cụ thể không được DNATed, thì gói nào? Ngoài ra, bạn có một số quy tắc điển hình cho thiết lập proxy minh bạch, nhưng không có quy tắc TPROXY cuối cùng và nó có quy tắc DNAT không được sử dụng trong thiết lập như vậy, quy tắc này dùng để làm gì?
0
Hồi đáp
lá cờ cn
r0b0tr0n
Tôi đã mô tả toàn bộ thiết lập trong câu hỏi khác của mình (https://serverfault.com/questions/1083764/stunnel-outgoing-packets-strangely-modified). Ở đây tôi muốn thảo luận về những khả năng tồn tại, để giữ cho các gói được nhìn thấy trong bảng "thô" trong chuỗi OUTPUT, như chúng vốn có và không làm cho chúng bị sửa đổi.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.