IPUTables में OUTPUT और FORWARD श्रृंखला के बीच अंतर क्या है?

22

सेंटोस 6.0

मैं iptables का अध्ययन कर रहा हूं और FORWARD और OUTPUT श्रृंखलाओं के बीच के अंतर पर भ्रमित हो रहा हूं। मेरे प्रशिक्षण प्रलेखन में, यह बताता है:

यदि आप (-ए) या (-डी) श्रृंखला से हटा रहे हैं, तो आप इसे तीन दिशाओं में यात्रा करने वाले नेटवर्क डेटा पर लागू करना चाहेंगे:

INPUT - इस श्रृंखला में नियमों के खिलाफ आने वाले सभी पैकेटों की जाँच की जाती है।

OUTPUT - इस श्रृंखला में नियमों के खिलाफ सभी आउटगोइंग पैकेट की जाँच की जाती है।

आगे - दूसरे कंप्यूटर पर भेजे जाने वाले सभी पैकेटों की जाँच इस श्रृंखला में नियमों के विरुद्ध की जाती है।

यह मुझे भ्रमित करता है, क्योंकि मेरे दिमाग में, होस्ट WOULD के लिए जाने वाले पैकेट आउटगोइंग होंगे। तो क्या ऐसे परिदृश्य हैं जहाँ एक पैकेट दूसरे कंप्यूटर पर जा रहा होगा लेकिन "आउटगोइंग" नहीं होगा? इन दोनों के बीच अंतर कैसे होगा?

linux iptables

— माइक बी
स्रोत

26

OUTPUT उन पैकेटों के लिए है जो मेजबान द्वारा उत्सर्जित होते हैं। उनका गंतव्य आमतौर पर एक और मेजबान होता है, लेकिन लूपबैक इंटरफ़ेस के माध्यम से एक ही मेजबान हो सकता है, इसलिए सभी पैकेट जो ओटपूट के माध्यम से नहीं जाते हैं, वास्तव में आउटगोइंग हैं।

FORWARD उन पैकेटों के लिए है जो न तो मेजबान द्वारा उत्सर्जित होते हैं और न ही मेजबान को निर्देशित होते हैं। वे पैकेट हैं कि मेजबान केवल मार्ग है।

जब आप पैकेट मैनबलिंग और NAT में खुदाई शुरू करते हैं, तो पूरी कहानी अधिक जटिल होती है ।

— गिल्स 'SO- बुराई होना बंद करो'
स्रोत

दिलचस्प है ... इसलिए मेरी समझ के उद्देश्य के लिए, क्या यह कहना उचित है कि OUTPUT उन पैकेटों के लिए है जो सिस्टम से "उत्पन्न" हैं ... और FORWARD उन पैकेटों के लिए है जो सिस्टम से उत्पन्न नहीं होते हैं या उनके लिए किस्मत में हैं यह और इसके बजाय "सिस्टम" के माध्यम से जा रहे हैं?

— माइक बी।

1

काफी नहीं, पैकेट जो "फॉरवर्डेड" होते हैं, नेटवर्क इंटरफेस द्वारा भी "आउटपुट" होते हैं .. जैसे ही पैकेट "इनपुट" होते हैं, इससे पहले कि वे "फॉरवर्ड" हो जाते हैं .. पैकेट अंदर जाता है, विदेशी सिस्टम के लिए किस्मत में आता है, पैकेट "फॉरवर्ड" चेन में प्रवेश करता है। , iptables अपने ओके को आगे तय करता है, पैकेट "आउटपुट चेन" में प्रवेश करता है, iptables चेक करता है, आउटपुट के लिए इसका "ओके" देखता है, पैकेट छोड़ता है .. सिम्पल!

— ग्रिजली

2

@Grizly नहीं है, स्मृति से (मैं मानता मैं विशेष रूप से परीक्षण नहीं किया जब इस उत्तर लेखन) और आरेख जिनसे मैं लिंक के अनुसार, एक पैकेट हमेशा ठीक तीन में से एक के माध्यम से चला जाता है filterजंजीरों ( INPUTया OUTPUTया FORWARD)। (कुछ अन्य श्रृंखला मान लेने से पहले इसे नहीं छोड़ना चाहिए।) mangleऔर natचेन अलग हैं, शायद आप mangleश्रृंखला के बारे में सोच रहे थे ?

— गिल्स एसओ- बुराई को रोकना '

0

मेरी समझ में:

INPUT: dst IP होस्ट पर है, यहां तक कि इसमें कई सबनेट के साथ कई पोर्ट हैं

OUTPUT: src IP होस्ट से है, या तो पोर्ट है

आगे: मेजबान पर न तो आईपी dst और न ही मेजबान से आईपी src

उदाहरण के लिए, राउटर A

INPUT है:

192.168.10.1 -> 192.168.10.199

192.168.10.1 -> 192.168.2.1

OUTPUT है:

192.168.10.199 -> xxxx

192.168.2.1 -> xxxx

आगे है:

192.168.10.1 -> 192.168.2.199

192.168.10.1 -> 192.168.8.1

192.168.10.1 -> 192.168.8.199

— flz
स्रोत