Насколько опасна политика iptables -A FORWARD -i eth1 -j ACCEPT на интерфейсе с публичным IP?

1

2

В том плане насколько я понимаю это приглашение для ip spoofing и также можно получит доступ к любому компьютеру в локальной сети.

Я даже проводил эксперимент

на виндовой машине добавлять маршрут

route add [Linux_server_local_network] mask [subnet_mask] [Linux_server_public_IP]

И пытался достучаться до какой нибудь локальной машины из сети линукса. (На ней поставил абсолютно все ACCEPT и вроде рабочие ROUTE)

Но ничего не работает.

Это провайдер блокирует или вообще такой forwarding в интернете не очень рабочий? По какой причине тогда?

Мне больше интересно с тем вопросом с каким ожесточением разрешать только самые нужные правила FORWARD на сервере. Ибо если это действительно позволяет получить доступ к любой машине в локалке то это большая уязвимость.

←	Какое бомж решение шаред стораджа для двух нод с proxmox лучшее?

Ведроид это Линукс? ;)

→

honeypot

anonymous
(25.07.24 19:15:35 MSK)

Я тебе сейчас тайну раскрою, только никому не говори: политика по умолчанию ACCEPT, без всяких твоих правил.

Anoxemian ★★★★★
(25.07.24 19:19:57 MSK)

ip spoofing’а в нормальных публичных сетях нет
разрешение форвардинга не дает доступа к локальной сети за фаерволлом, этим занимается DNAT

BOOBLIK ★★★★
(25.07.24 19:43:05 MSK)
Последнее исправление: BOOBLIK 25.07.24 19:43:32 MSK (всего исправлений: 1)

Ответ на: комментарий от Anoxemian 25.07.24 19:19:57 MSK

Вот я про это и говорю.

glorsh66
(25.07.24 20:16:37 MSK) автор топика

Ответ на: комментарий от BOOBLIK 25.07.24 19:43:05 MSK

Т.е. получается если не включен SNAT/MASQURADE и DNAT то невозможно получить доступ к локальной сети даже есть стоит ACCEPT на все, и на другом компьютере прописать адрес как роут.

glorsh66
(25.07.24 20:18:21 MSK) автор топика

Доступ можно получить только из L2 сети интерфейса eth1

m0xf ★
(25.07.24 20:19:07 MSK)

Ответ на: комментарий от glorsh66 25.07.24 20:18:21 MSK

Если у тебя IP forwarding не включен (по дефолту не включен), то пакет дропнется. Если включен - то уйдёт в локальную сеть. Дальше уже зависит от роутера. Если роутер не разрешает отправлять пакеты с source отличным от ожидаемого на порту, то дропнется на роутере. Если разрешает - то прилетит на конечный компьютер.

Причём с ответом всё ровно так же. Конечный компьютер будет отвечать на исходный IP и в твоей сети должен быть настроен роутинг так, чтобы ответ дошёл до адресата. Если никто это специально не настраивал, то скорей всего ответ дропнется где-то по пути и на этом всё закончится.

vbr ★★★★
(25.07.24 20:44:56 MSK)
Последнее исправление: vbr 25.07.24 20:45:10 MSK (всего исправлений: 1)

←	Какое бомж решение шаред стораджа для двух нод с proxmox лучшее?

Admin

Ведроид это Линукс? ;)

→

Похожие темы