IPs隧道-限制源IP所必需的？

Question

我在我的主机之间使用Centos 5上的简单IPIP隧道，没有IPSec或类似的，在应用层使用加密。我想知道，我是否应就隧道封包的来源增加额外的预防措施。

换句话说:如果在iptables中有一种方法，那么添加一条只接受来自预定义的外部IP列表的隧道数据包的规则是否有意义？或者IPIP隧道是否确保数据包来自它应该发回答案的对等端？

如果这种过滤是可取的，我如何才能做到，iptables似乎只看到内部地址。我可以和ebtables一起做吗？

Answer 1

或者IPIP隧道是否确保数据包来自它应该发回答案的对等端？

当然，是的，否则，您将无法有多个IPIP隧道给不同的同行。

但是，只有在实际指定ipip接口上对等方的地址时，才会发生这种情况。但你做到了对吧？

如果您还指定了隧道要使用的本地地址，内核也会检查它。

Answer 2

Iptables可以过滤ip协议。您应该使用协议4和94 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)，以便在Iptables规则中使用协议，使用选项-p。例如: iptables -A -p 4-source-port 10.10.10.1 -i eth0 -j ACCEPT iptables -A INPUT -p 94 -源代码-端口10.10.10.1 -i eth0 -j ACCEPT

如果您有一个接口桥，并且iptables没有捕获框架(我认为这不是您的情况)，则使用ebtable。