Почему в POSTROUTING нельзя использовать input interface в качестве условия?

iptables, netfilter, глупый вопрос, хочу всё знать

0

2

Вопрос для общего развития. Я понимаю почему в PREROUTING нет output interface, пакет еще не знает куда его направят. В forwarding и input можно использовать input interface, получается что маршрутизация не удаляет эту информацию, так почему в POSTROUTING она не попадает? Связано с тем, что мешается OUTPUT и FORWARDING трафик? Ну так могли добаить виртуальный интерфейс(local, cpu, thispc, ...) для трафика исходящего от локальных процессов, или просто игнорировать output трафик, но давать возможность для оставшегося фильтровать по интерфейсу. Или что-то еще?

Перемещено Shaman007 из talks

Ссылка

←	Слетают правила iptables

Проверка качества передачи udp по сети

→

Возможно потому, что в этом нет необходимости. Т.к. любые действия, которые ты хочешь выполнить по условию input interface в POSTROUTING, можно выполнить иначе, а раз так, то зачем тратить память на хранение инфы о input interface для каждого пакета в POSTROUTING. Также специалисты по коду ядра возможно приведут более предметные причины.

rumgot ★★★★★
(24.10.18 11:53:14 MSK)

Ссылка

Ты можешь ставить метки с помощью mangle на любом этапе, а потом использовать их в POSTROUTING для анализа.

surefire ★★★
(24.10.18 12:38:12 MSK)

Ответ на: комментарий от surefire 24.10.18 12:38:12 MSK

с метками знаю, но мне не для практических целей а для общего понимания

Deleted
(24.10.18 16:12:57 MSK)

Ссылка

Потому что уже прошло FORWARD

targitaj ★★★★★
(24.10.18 17:11:38 MSK)

Ссылка

Потому что пакет уже находится как бы на выходном интерфейсе(цель -j ROUTE выпилили не зря). Сделано это в том числе для того чтобы на эту архитектуру можно было всякие offload-ы накладывать(что и делают некоторые вендоры коммерческих дистрибутивов для роутеров)

Pinkbyte ★★★★★
(24.10.18 17:15:49 MSK)

Почитайте Iptables Tutorial, есть русский перевод версии 1.1.19, например на опеннете. Там в частности есть чертеж, как идут пакеты. В цепочку POSTROUTING пакет может попадать не только из входного интерфейса, а например, и из локальной системы (процесса), поэтому -i eth0 указывать не имеет никакого смысла.

Infra_HDC ★★★★★
(24.10.18 18:28:33 MSK)

Ответ на: комментарий от Infra_HDC 24.10.18 18:28:33 MSK

а например, и из локальной системы (процесса), поэтому -i eth0 указывать не имеет никакого смысла.

я-же в оригинальном посте про это написал, ну да могут но что мешает пакеты пришедшие не из output проверять -i

Deleted
(25.10.18 10:18:12 MSK)

Ссылка

Ответ на: комментарий от Pinkbyte 24.10.18 17:15:49 MSK

Вопрос ТС кстати действительно интересный, с одной стороны и не надо (как написали выше и метками можно обойтись) с другой стороны действительно почему и не оставить?

anc ★★★★★
(25.10.18 18:47:15 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Слетают правила iptables

Admin

Проверка качества передачи udp по сети

→

Похожие темы