0

我可以使用 nft 中的“所有 IP 都匹配”规则进行 SSH 连接:

table ip filter {
    chain INPUT {
            type filter hook input priority 0; policy drop;
            iifname "eth0" ip saddr { 0.0.0.0-255.255.255.255 } accept
    }

    chain FORWARD {
            type filter hook forward priority 0; policy accept;
    }

    chain OUTPUT {
            type filter hook output priority 0; policy accept;
    }
}

SSH 隧道在没有上述规则集的情况下工作,但在出现 nft 规则集时不起作用:

油灰

问题:在保持输入策略“丢弃”的同时使 SSH 隧道正常工作的最小规则是什么?

4

1 回答 1

0

默认策略“drop”适用于所有接口。而自定义规则专门适用于“eth0”。因此,任何依赖环回接口的流量,例如 SSH 隧道,都将被默认策略阻止。

要回答这个问题,要么删除“eth0”接口:

...
chain INPUT {
        type filter hook input priority 0; policy drop;
        ip saddr { 0.0.0.0-255.255.255.255 } accept
}
...

或者添加环回接口:

...
chain INPUT {
        type filter hook input priority 0; policy drop;
        iifname { "lo", "eth0" } ip saddr { 0.0.0.0-255.255.255.255 } accept
}
...
于 2019-04-30T03:14:04.677 回答