Вопросы Теги

NAT позволяет получать доступ к внутренней сети (или локальный интерфейс маршрутизатора) с внешней стороны по умолчанию?

[12382] По умолчанию VPN не конфигурируется в Kali Linux. Если вы хотите подключиться через VPN в Kali Linux, сначала установите [119641]pptp[119642] и сеть [119643]openvpn[119644] с помощью [119645]apt-get install[119646].[12383]Command :[12384]apt-get install network-manager-{openvpn-gnome,pptp{,-gnome},strongswan,vpnc{,-gnome}}. /etc/init.d/ перезагрузка сетевого менеджера [12385](Убедитесь, что в скобках нет пробелов)[12386]Клиент Cisco VPN также может быть использован в Kali Linux.[12387]
1
31.03.2015, 08:46
2 ответа

Это нормально, и не имеет ничего общего с NAT. Linux по умолчанию обрабатывает IP-адреса в качестве принадлежности к компьютеру ¹, не к определенному интерфейсу. Так что это ответит на пакеты до 192.168.2.1 на любой интерфейс, а не только интерфейс локальной сети.

, который сказал, NAT работает , подразумевает брандмауэр или наоборот. Вы можете, например, карта внутренних хозяев 192.168.0.2-254 к публичному IPS X.y.z.2-254, а все направляющиеся к X.y.z.253. Были направлены до 192.168.0.253. Это все еще NAT.

При сопоставлении целой подсети на один внешний IP-адрес в качестве побочного эффекта вы получаете брандмауэр поведение, создавая соединения в основном исходящим. Но даже так, ваши правила брандмауэра все еще должны заблокировать эти пакеты - код NAT, вероятно, может быть обманут для сопоставления порта, который вы не хотите, брандмауэр не будет. И его более гибкий тоже. (И если ваш ISP скомпирован скомпрометирован, они могут отправить вам трафик на ваши частные адреса LAN, и ваша машина будет счастливо пересылать ее).

PS: Чтобы увидеть правила NAT, вы хотите iptables -t nat -l . Чтобы увидеть, что разрешено пересылать ваш маршрутизатор / брандмауэр, вам нужно посмотреть на Whean цепь , а не вход цепочек.

Сноски
¹ или точнее, определенное пространство имен сети на машине - вероятно, только один, если вы не используете определенные методы виртуальных серверов. Arp_ignore и ARP_ANNONCH файлы в / proc / net / ipv4 / conf / * / Настройте это поведение.

4
27.01.2020, 23:20

Следует отметить несколько моментов.

  1. NAT Iptables основан на подключении. Вообще говоря (есть некоторые сложности, связанные с протеколами, такими как ftp, у которых есть помощники NAT), только первый пакет соединения проходит через таблицы NAT, который затем определяет, как будет обрабатываться остальная часть соединения.
  2. NAT не подразумевает брандмауэра и наоборот. Если бы у вас было только правило NAT, вы бы прекрасно могли пинговать все свои внутренние хосты.
  3. Пакеты проходят через цепочку FORWARD, только если они действительно пересылаются. Если они предназначены для адреса на локальном компьютере, они вместо этого переходят в цепочку INPUT.

Правила в вашей цепочке INPUT принимают все пакеты ICMP, поэтому эхо-запрос на «внутренний IP-адрес» маршрутизатора завершается успешно.

С другой стороны, эхо-запрос к устройству во внутренней сети проходит через цепочку FORWARD, куда его отбрасывают правила брандмауэра.

0
27.01.2020, 23:20

Теги

Похожие вопросы