1

У меня есть машина с двумя интерфейсами: eth0 и eth1, eth0 - в Интернете и eth1 - в DMZ.

Я понимаю OUTPUT и INPUT относительно eth0, если он определен как:

iptables -A INPUT  -i eth0 -j eth0_input
iptables -A OUTPUT -i eth0 -j eth0_output

Но я немного не уверен насчет прямой цепочки, если она определена как

iptables -A FORWARD -i eth0 -j eth0_forward

Я никогда не сталкивался со случаем, когда мне приходилось думать об eth1 в отношении eth0 и прямой цепочки НО этим утром, как в 99.99% (кажется) случаев, когда он просто направляет пакеты к машинам, которые находятся за eth1.

Является ли интерфейс eth1 частью eth0_input и eth0_output или частью eth0_forward?

Спасибо

|источник

1 ответ1

2

Я считаю, что вы задаете не тот вопрос. Интерфейс eth1 не является частью eth0_input, а eth0_output не является частью eth0_forward - хотя они могут быть связаны в вашей конфигурации

  • eth0 и eth1 являются интерфейсами.
  • eth0_input, eth0_output и eth0_forward являются конструкциями, созданными вашими правилами конфигурации, и в то время как описательные являются полностью произвольными.

Правила являются отдельными для интерфейсов, хотя они взаимодействуют с ними.

В общем -

  • Пакеты, предназначенные для локального компьютера, обрабатываются цепочкой INPUT. Соответственно, пакеты, отправленные с локального компьютера (без учета NAT), обрабатываются с помощью цепочки OUTPUT.

  • Пакеты с других машин за маршрутизатором проходят через цепочку FORWARD.

Скорее всего, вы обнаружите, что цепочка eth0_forward использовалась для управления тем, какие серверы и порты открыты для Интернета, то есть трафик, исходящий из eth0, будет трафиком из мира, и его следует разрешать только в том случае, если - он соответствует исходящему потоку (т.е. перехватывается ранее установленным правилом ESTABLISHED, RELATED) или находится в известном порту известной системы - в этом случае его следует разрешить или отклонить до достижения eth1. ПРАВИЛО, КАК ПИСЬМЕННО РАБОТАЕТ С ДВИЖЕНИЕМ ИЗ МИРА, ДО ТОГО, КАК ЭТО ДОБРАЕТСЯ НА СТОРОННУЮ СТОРОНУ ФЕЙЕРВЕРЛА.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .