Iptables:OUTPUTで--sourceフラグを使用するのは合理的ですか?

Iptables:OUTPUTで--sourceフラグを使用するのは合理的ですか?

少なくとも2つのインターフェースがあり、24ビットマスクを使用する2つの異なるネットワークへのリンクを持つルーターがあるとし192.168.10.254ます192.168.20.254

)フラグを削除すると、次のiptablesコマンドは異なりますか-s = --source

iptables -A OUTPUT -s 192.168.10.0/24 -d 192.168.10.0/24 -p icmp -j ACCEPT

私が理解したのは、ルータは常にインターフェイスを使用してネットワークを192.168.10.254pingするので、このフラグはまったく役に立たず、誤解を招くと思います。しかし、OUTPUTのケースではiptablesが許可されているので、何か欠けているものが必要ですか?192.168.10.0/24-s

答え1

十分な権限が与えられたら、システムのプロセスが偽造された送信者アドレスでTCP / IPパケットを作成できます。たとえば、これはDOS攻撃で一般的です。

これに加えて、システムに複数の有効なソースアドレスがある可能性があります。

ルールを実行すること(たとえば、OUTPUTでソースを許可しないなど)は、iptablesが実行する必要がある操作の範囲外です。

関連情報