1 votos

Iptables INPUT, OUTPUT y FORWARD cadenas

Tengo una máquina que tiene dos interfaces eth0 y eth1 eth0 que enfrenta el INTERNET y la eth1 frente de la DMZ.

Entiendo ENTRADA y la SALIDA con respecto a la eth0 si se define como:

iptables -A INPUT  -i eth0 -j eth0_input
iptables -A OUTPUT -i eth0 -j eth0_output

Pero yo soy un poco inseguro acerca de la cadena forward si se define como

iptables -A FORWARD -i eth0 -j eth0_forward

Nunca me llegó el caso de que me tenía que pensar en eth1 con respecto a la eth0 y la cadena forward, PERO esta mañana, ya que en el 99,99% (parece) de los casos sólo las rutas de los paquetes hacia las máquinas que están detrás de eth1.

Es la interfaz eth1 parte de eth0_input y eth0_output o es parte de eth0_forward?

gracias

2voto

porto alet Puntos 315

Creo que están haciendo la pregunta equivocada. interfaz eth1 no es parte de eth0_input, y eth0_output no es parte de eth0_forward - a pesar de que puede estar relacionado en su configuración

  • eth0 y eth1 son las interfaces.
  • eth0_input, eth0_output y eth0_forward son construcciones creadas por la configuración de las reglas, y mientras descriptivos son completamente arbitrarias.

Las reglas son independientes a las interfaces, aunque interactúan con ellos.

En general

  • Paquetes destinados a la máquina local son manejados por la cadena de ENTRADA. Relatedly, los Paquetes que provienen de la máquina local (ignorando NAT), se manejan con la SALIDA de la cadena.

  • Los paquetes de otras máquinas detrás del router ir a través de la cadena FORWARD.

Lo más probable es encontrar que eth0_forward de la cadena ha sido utilizada para controlar lo que los servidores y puertos están expuestos a Internet, es decir, el tráfico que se origina a partir de eth0 será el tráfico del mundo, y sólo debe ser permitido si - Corresponde a una corriente de salida (ie atrapado por una anterior ESTABLECIDAS,RELACIONADAS con la regla) o a un puerto conocido en un sistema conocido - en cuyo caso debe ser permitido o rechazado antes de que llegue a eth1. LA REGLA ESCRITA OFERTAS CON EL TRÁNSITO DESDE EL MUNDO ANTES DE QUE LLEGUE AL LADO DE LA LAN DEL SERVIDOR DE SEGURIDAD.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: