我在我的主机之间的 Centos 5 上使用简单的 IPIP 隧道,没有 IPSec 或类似的,在应用程序层使用加密。我想知道,是否应该添加有关隧道数据包来源的额外预防措施。
换句话说:如果在 中有一种方法iptables,那么添加一个仅接受来自预定义外部 IP 列表的隧道数据包的规则是否有意义?或者 IPIP 隧道是否确保自己数据包来自它应该发回答案的对等方?
如果这种过滤是可取的,我该怎么做,iptables似乎只看到内部地址。我可以用ebtables吗?
IP-over-IP 隧道 - 需要限制源 IP 吗?
网络工程
安全
隧道
2021-08-04 07:48:43
2个回答
或者 IPIP 隧道是否确保自己数据包来自它应该发回答案的对等方?
当然是的,否则,您将无法拥有到不同对等点的多个 IPIP 隧道。
但这只有在您实际在 ipip 接口上指定了对等方的地址时才会发生。但你做到了,对吧?
如果您还指定了隧道要使用的本地地址,内核也会检查它。
iptables 可以过滤ip 协议。您应该使用协议 4 和 94 ( https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml ) 为了在 Iptables 规则中使用协议,请使用选项 -p。例如: iptables -A INPUT -p 4 --source-port 10.10.10.1 -i eth0 -j ACCEPT iptables -A INPUT -p 94 --source-port 10.10.10.1 -i eth0 -j ACCEPT
如果您有接口桥并且 iptables 没有捕获帧(我认为这不是您的情况),则使用 ebtables。
其它你可能感兴趣的问题