On Oct 21, 2010, at 10:08 AM, Miguel Oyarzo O. wrote: > Estimados, > despues de años me surgió esta duda: > Si con iptables tengo > -P FORWARD DROP > Esto funciona para paquetes que pretendan atravesar de una interfaz a otra. > pero qué pasa con los paquetes que entran por una interfaz y deben salir por > la misma?
No, FORWARD no consiste en "los que entran por una interfaz y salen por otra". Viejo pero aún válido (simplificado) el mono: http://bit.ly/9MPxAH Cuando un paquete entra al kernel, queda en una estructura llamada skbuff que tiene toda la información: - Si ese paquete es ruteado por el kernel (por eso el sys.net.ipv4.ip_forward=1), pasará por FORWARD - Si en cambio ese paquete es consumido por un proceso, pasará en cambio por INPUT y "desaparece" de la vista del kernel (skbuff) Esto es independiente de la interfaz por la que entra/sale. > Por ejemplo la misma maquina linux trabajando como PROXY ARP. > La cadena FORWARD cadena no funcionaría en ese caso ... o me equivoco? Depende de cómo está implementado el PROXY ARP (cosa que desconozco): - Si es un proceso de usuario (un demonio), entrará por INPUT y no por FORWARD - Si es algo a nivel del kernel no creo que sea "consumido" el skbuff y pasará por FORWARD en vez de INPUT Hay algunas funcionalidades en el kernel que están implementadas como procesos, pero creo que ninguna funcionalidad de redes. Aldrin Martoq http://aldrin.martoq.cl/