Любые недостатки использования nat MASQUERADE без ограничения источника (в типичной простой настройке VPS)
Ситуация: VPS уже обслуживает веб-страницы через nginx. Теперь я добавляю OpenVPN для роуминговых устройств к этому VPS.
Одна установка для руководства VPN предлагает добавить это правило MASQUERADE -
iptables -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
где 10.8.0.0/8 - виртуальный адрес VPN.
Тем не менее, просматривая вокруг, я вижу много примеров этого более общего правила -
iptables -A POSTROUTING -o eth0 -j MASQUERADE
без условия на исходный адрес.
Если нет плохих побочных эффектов, я бы предпочел использовать более общее правило, тогда мне не пришлось бы беспокоиться об этом при изменении конфигурации VPN.
Я понимаю принцип "лучше быть безопасным, чем сожалеть", но действительно ли есть о чем беспокоиться?
2 ответа
Вы вызываете маскарад после того, как вы прошли через весь сетевой стек, кроме последнего бита, и это последнее, что вы делаете перед тем, как пакет выйдет за дверь. Таким образом, этот пакет уже успел убедить вашу систему, что отправка исходящих сообщений безопасна. Какие источники могут это сделать? Либо вы пропускаете вещи через свой компьютер, который вам не нужен, либо у вас будет очень ограниченный набор - например, localhost и VPN. Если это так, то ваше ограничение источника уже было применено ранее, и вам не нужно его дублировать.
Там может быть проблема производительности из-за более общего правила. Тот, который ограничивает MASQUERADE только пакетами с определенными адресами источника, просто сделает это. Более общий вариант будет применяться ко ВСЕМ пакетам, покидающим вашу систему (включая локально сгенерированные), и это может (или не может) увеличивать нагрузку на ваш VPS.