Linux

允許在根伺服器上轉發,安全風險?

  • May 31, 2013

擁有一個沒有 iptables 規則的根伺服器(我知道這不好,在我的情況下這只是暫時的),並且具有這樣的配置(出於 VPN 原因):

echo 1 > /proc/sys/net/ipv4/ip_forwarding

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

這是否包括任何主機能夠濫用我的根伺服器、將其用作路由器或以任何方式通過它轉發流量?

不可以。只有同一(物理或虛擬)連結上的主機才能做到這一點。原因是您必須創建一個針對您的系統但包含不是您系統的 IP 目標地址的第 2 層(例如乙太網)數據包。

需要至少一個網關才能訪問您的系統的主機需要這些網關中的至少一個(可能是全部,取決於具體情況)的幫助才能完成這項工作。

引用自:https://serverfault.com/questions/512258