少なくとも2つのインターフェースがあり、24ビットマスクを使用する2つの異なるネットワークへのリンクを持つルーターがあるとし192.168.10.254
ます192.168.20.254
。
)フラグを削除すると、次のiptablesコマンドは異なりますか-s = --source
?
iptables -A OUTPUT -s 192.168.10.0/24 -d 192.168.10.0/24 -p icmp -j ACCEPT
私が理解したのは、ルータは常にインターフェイスを使用してネットワークを192.168.10.254
pingするので、このフラグはまったく役に立たず、誤解を招くと思います。しかし、OUTPUTのケースではiptablesが許可されているので、何か欠けているものが必要ですか?192.168.10.0/24
-s
答え1
十分な権限が与えられたら、システムのプロセスが偽造された送信者アドレスでTCP / IPパケットを作成できます。たとえば、これはDOS攻撃で一般的です。
これに加えて、システムに複数の有効なソースアドレスがある可能性があります。
ルールを実行すること(たとえば、OUTPUTでソースを許可しないなど)は、iptablesが実行する必要がある操作の範囲外です。