LINUX.ORG.RU
ФорумAdmin

iptables как трушнее


0

2

Как трушнее резать транзитные пакеты на шлюзе? -t mangle -A PREROUTING -p бла бла бла -j DROP или -A FORWARD -p бла бла бла -j DROP

По идее сначала пакет попадает в PREROUTING таблицы mangle, вот я и подумал может дропать правильнее здесь, зачем пускать дальше...


вот я и подумал

Не надо думать, от этого морщины на лбу. В prerouting ты знаешь только входящий интерфейс, а в forward и входящий, и исходящий, что позволяет писать правила более общим образом. Кроме того, prerouting цепляет все полученные пакеты, а forward только транзитные.

Например, ppp0 <-> eth1 это vpn<->локала. А в prerouting ты повязан на IP-адреса, и будет у тебя мазохистский секс при смене IP и добавлении новых подсететй, адресов и т.п.

no-dashi ★★★★★ ()

>По идее сначала пакет попадает в PREROUTING таблицы mangle, вот я и подумал может дропать правильнее здесь, зачем пускать дальше...

А теперь подумай, для чего была придумана таблица filer и почему она так называется... ;-)

Rost ★★★★★ ()
Ответ на: комментарий от Rost

>>В prerouting ты знаешь только входящий интерфейс, а в forward и входящий, и исходящий, что позволяет писать правила более общим образом. Кроме того, prerouting цепляет все полученные пакеты, а forward только транзитные.

сенкс

А теперь подумай, для чего была придумана таблица filer и почему она так называется... ;-)

ну я же поразмышлять. От безделья тьфу тьфу тьфу :)))

zooooo ()
Ответ на: комментарий от Rost

>И если уж так хочется дропать пакеты как можно раньше, то это можно делать в таблице RAW

ну я понял, что в каноническом виде дропать надо в filter :))) а все другие правила для дропа от лукавого. :)

zooooo ()
Ответ на: комментарий от anton_jugatsu

Спасибо за разъяснения, дропать буду в -t filter -A FORWARD -p бла бла бла -j DROP

Кроме того вычитал такую рекомендацию в переводе Киселева на http://www.opennet.ru/docs/RUS/iptables/

"...Далее пакет попадает в цепочку FORWARD таблицы mangle, которая должна использоваться только в исключительных случаях, когда необходимо внести некоторые изменения в заголовок пакета между двумя точками принятия решения о маршрутизации..."

zooooo ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.