1,744
社区成员
发帖
与我相关
我的任务
分享iptables nat 安全问题
如果我有一台服务器ip是120.120.120.1
服务器有两网卡,一接外网,二接内网(192.168.1.2)
现在为了吧内网的端口映射出去我用了iptables的nat配置是这样的
iptables -t nat -A PREROUTING -d 120.120.120.1 -p tcp -m tcp --dport 888 -j DNAT --to-destination 192.168.1.5:888
iptables -t nat -A POSTROUTING -d 192.168.1.0/24 -p tcp -m tcp -j SNAT --to-source 192.168.1.2
现在是可以通过外网访问到内网了。但是是否有安全问题呢?
假设有一个不怀好意之人,他有一台公网ip是120.120.120.120的服务器,然后他把他的外网接口的网关设置成了120.120.120.1然后再访问192.168.1.X,那不就可以实现入侵我的内网了吗?
服务器有两网卡,一接外网,二接内网(192.168.1.2)
现在为了吧内网的端口映射出去我用了iptables的nat配置是这样的
iptables -t nat -A PREROUTING -d 120.120.120.1 -p tcp -m tcp --dport 888 -j DNAT --to-destination 192.168.1.5:888
iptables -t nat -A POSTROUTING -d 192.168.1.0/24 -p tcp -m tcp -j SNAT --to-source 192.168.1.2
现在是可以通过外网访问到内网了。但是是否有安全问题呢?
假设有一个不怀好意之人,他有一台公网ip是120.120.120.120的服务器,然后他把他的外网接口的网关设置成了120.120.120.1然后再访问192.168.1.X,那不就可以实现入侵我的内网了吗?
...全文
请发表友善的回复…
发表回复
不仅仅是程序员 2015-12-20
- 打赏
- 举报
Upupup.
SunnyKandy1224 2015-11-20
- 打赏
- 举报
不会,这样的事情绝对不会发生!一般公网IP会与MAC地址绑定,正常情况下会具体到那根线是哪个IP。
同时建议你iptables 做nat的时候,安装设备名称来配置。不建议直接写IP地址!
