LINUX.ORG.RU

iptables таблица mangle действие DROP


0

0

В руководстве по iptables написано, что в mangle не рекомендуется фильтровать трафик. В частности интересует DROP по критерию mark и DROP по критериям -i , -s.
Есть какая-нибудь техническая причина такого ограничения или так пишут просто из-за первоначального предназначения таблицы mangle ?

Надо отфильтровать все пакеты на интерфейсах с заведомо ложными источниками. Можно конечно некоторые пакеты метить в mangle ( PREROUTING ) и потом их резать в filter ( INPUT/FORWARD), но куда красивее выглядит вынос Всех действий с плохими пакетами в mangle ( PREROUTING )...

Технически команды вида
iptables -t mangle -A PREROUTING -p all -i eth0 -s 192.168.0.0/16 -j DROP проходят.


Re: iptables таблица mangle действие DROP

От бэть глядя на таких умельцев материться хочется нехорошими словами. Ну сказали разработчики как НАДО делать, нет, все равно в джопе свербит глнды через нее выркзать.

Вообще для регения задачи одного форварда достаточно. Хочешь вынести в отдельную цепочку правила - вынеси. А Mangle нужен только для раскраски трафика. Это во основном шейпинг, полиси рутинг, поддержка QoS и тому подобные вещи.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.