Должен ли я выполнять сопоставление состояния с iptables для таблицы nat?

Leon

14.03.2023, 19:49

Я часто вижу, что в цепочке iptables есть некоторые правила сопоставления с отслеживанием состояния, такие как INPUT.

Я знаю, что они делают, и мне это интересно.

Должен ли я сделать то же самое для цепочек таблицы NAT?

Например, я хочу, чтобы в моем домашнем маршрутизаторе он принимал ssh, а также действовал как маршрутизатор NAT.

Если у нас есть:

-A ВВОД -m состояние --state СВЯЗАННО, УСТАНОВЛЕНО -j ПРИНЯТЬ

-A INPUT -p tcp -m состояние --state NEW -m tcp --dport 22 -j ПРИНЯТЬ

я должен сделать следующее для лучшей производительности?

-t nat -A POSTROUTING -m state --state СВЯЗАННЫЙ, УСТАНОВЛЕННЫЙ -j MASQUERADE

-t nat -A POSTROUTING -s 192.168.1.0/24 -o wan0 -m state --state NEW -j MASQUERADE

Я думаю, что я должен НЕТ сделать то же самое для цепочки POSTROUTING, но должен для ВПЕРЕД.

Спасибо!

0 + 0

жесткий диск

iptables

nf-conntrack

Рейтинг:1

Server

Nikita Kipriyanov

14.03.2023, 20:09

Нет, вам это не нужно.

Правила динамического NAT всегда используют таблицы conntrack. Так что это бесполезно (и неправильно). нат таблица просматривается только первый пакет соединения, поэтому он увидит только --ctstate НОВЫЙ пакеты. Он никогда не видит --ctstate УСТАНОВЛЕНО пакеты, потому что они не нарушают правила. Если пакет найден в таблице nat средства отслеживания соединений, к нему применяется записанный перевод, и он переходит к следующей таблице.

Рассмотрение состояния соединения представляется полезным в ВПЕРЕД цепь, не в ПРЕДВАРИТЕЛЬНАЯ МАРШРУТИЗАЦИЯ или же РАЗМЕЩЕНИЕ, поэтому используйте его в ВПЕРЕД фильтр или же ВПЕРЕД столы.

Дополнительное примечание: государство модуль match устарел и удален из ядра. Фактическое совпадение реализовано с коннтрек модуль.На мой взгляд, лучше использовать его явно, поэтому лучше всегда использовать -m conntrack --ctstate ... скорее, что -м состояние.

0 + 0

Leon

14.03.2023, 20:13

Большое спасибо!!!

Ответить

Admin

Этот вопрос на других языках:

EN: Should I do the stateful matching with iptables for nat table?

TH: ฉันควรทำการจับคู่สถานะกับ iptables สำหรับตาราง nat หรือไม่

RO: Ar trebui să fac potrivirea stateful cu iptables pentru tabelul nat?

RU: Должен ли я выполнять сопоставление состояния с iptables для таблицы nat?

VI: Tôi có nên thực hiện khớp trạng thái với iptables cho bảng nat không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.