최소한 2개의 인터페이스가 있고 24비트 마스크를 사용하는 두 개의 다른 네트워크에 대한 링크가 있는 라우터가 있다고 가정해 192.168.10.254보겠습니다 192.168.20.254.
) 플래그를 제거하면 다음 iptables 명령이 달라지나요 -s = --source?
iptables -A OUTPUT -s 192.168.10.0/24 -d 192.168.10.0/24 -p icmp -j ACCEPT
내가 이해한 바로는 라우터는 항상 인터페이스를 사용하여 네트워크를 192.168.10.254ping 하므로 이 플래그는 전혀 쓸모가 없으며 오해의 소지가 있다고 생각합니다. 그러나 OUTPUT 사례에서는 iptables가 허용하므로 뭔가 빠진 것이 있어야 합니까?192.168.10.0/24-s
답변1
충분한 권한이 주어지면 시스템의 프로세스가 위조된 보낸 사람 주소로 TCP/IP 패킷을 만들 수 있습니다. 예를 들어, 이는 DOS 공격에서 흔히 발생합니다.
이 외에도 시스템에 유효한 소스 주소가 여러 개 있을 수 있습니다.
규칙을 시행하는 것(예: OUTPUT에서 소스를 허용하지 않는 것)은 iptables가 수행해야 하는 작업의 범위를 벗어나는 것 같습니다.