iptables как трушнее

вот я и подумал

Не надо думать, от этого морщины на лбу. В prerouting ты знаешь только входящий интерфейс, а в forward и входящий, и исходящий, что позволяет писать правила более общим образом. Кроме того, prerouting цепляет все полученные пакеты, а forward только транзитные.

Например, ppp0 <-> eth1 это vpn<->локала. А в prerouting ты повязан на IP-адреса, и будет у тебя мазохистский секс при смене IP и добавлении новых подсететй, адресов и т.п.

>По идее сначала пакет попадает в PREROUTING таблицы mangle, вот я и подумал может дропать правильнее здесь, зачем пускать дальше...

А теперь подумай, для чего была придумана таблица filer и почему она так называется... ;-)

И если уж так хочется дропать пакеты как можно раньше, то это можно делать в таблице RAW.

>>В prerouting ты знаешь только входящий интерфейс, а в forward и входящий, и исходящий, что позволяет писать правила более общим образом. Кроме того, prerouting цепляет все полученные пакеты, а forward только транзитные.

сенкс

А теперь подумай, для чего была придумана таблица filer и почему она так называется... ;-)

ну я же поразмышлять. От безделья тьфу тьфу тьфу :)))

+1

-P FORWARD DROP и вперёд :)

>И если уж так хочется дропать пакеты как можно раньше, то это можно делать в таблице RAW

ну я понял, что в каноническом виде дропать надо в filter :))) а все другие правила для дропа от лукавого. :)

> -P FORWARD DROP и вперёд :)

полиси полисами, но поразмышлять то можно....

Ага :) Дропать имхо лучше в FORWARD, PREROUTING всё таки лучше, там, маркировать и т.д., чтоб потом через ipset, например, рулить.

Спасибо за разъяснения, дропать буду в -t filter -A FORWARD -p бла бла бла -j DROP

Кроме того вычитал такую рекомендацию в переводе Киселева на http://www.opennet.ru/docs/RUS/iptables/

"...Далее пакет попадает в цепочку FORWARD таблицы mangle, которая должна использоваться только в исключительных случаях, когда необходимо внести некоторые изменения в заголовок пакета между двумя точками принятия решения о маршрутизации..."