El 21-10-2010 13:05, Aldrin Martoq escribió:
On Oct 21, 2010, at 10:08 AM, Miguel Oyarzo O. wrote:
Estimados,
despues de años me surgió esta duda:
Si con iptables tengo
-P FORWARD DROP
Esto funciona para paquetes que pretendan atravesar de una interfaz a otra.
pero qué pasa con los paquetes que entran por una interfaz y deben salir por la
misma?
No, FORWARD no consiste en "los que entran por una interfaz y salen por otra".
Viejo pero aún válido (simplificado) el mono: http://bit.ly/9MPxAH
Cuando un paquete entra al kernel, queda en una estructura llamada skbuff que
tiene toda la información:
- Si ese paquete es ruteado por el kernel (por eso el
sys.net.ipv4.ip_forward=1), pasará por FORWARD
- Si en cambio ese paquete es consumido por un proceso, pasará en cambio por INPUT y
"desaparece" de la vista del kernel (skbuff)
Esto es independiente de la interfaz por la que entra/sale.
Aldrin, lo que mencionas arriba lo tengo muy claro (olvida el trafico
INPUT, no es el caso)
A raiz de eso mismo me sale la duda
Si la interfaz da "lo mismo", entonces por que razon al realizar este
ensayo:
LAN1--(router)-->eth0----FW/Linux
LAN2--(router)-->eth0---|
.. FORWARD -i eth0 -s LAN1 -d LAN2 -j DROP (no bloquea)
pero desde luego si funciona (bloqueando):
LAN1--(router)-->eth0--FW/Linux-eth1-(router)-->LAN2
En este caso el kernel rutea bien los paquetes entre LAN1 y LAN2, pero
no logro que FORWARD DROP trabaje bien si los paquetes son forwarded
entre ambas LANs usando la misma Interfaz como entrada y salida.
Que opinas?
=====================================
Miguel A. Oyarzo O.
Ingeniería en Redes y Telecomunicaciones
Austro Internet S.A. & INALAMBRICA S.A.
Teléfono: [+05661] 710030
Punta Arenas - Chile
Linux User: # 483188 - counter.li.org
=====================================