> filtrare in nat nu cred ca am facut niciodata (nici nu stiu sigur daca se
> poate, desi cred ca da, cu ceva limite) > pe vremuri mai simulam in mangle un fel de rp_filter (taiam tot ce nu avea > ce sa caute pe acolo cu sursa/destinatia data) > stiu ca regulile se pun in filter, dar pe principiu 'divide et impera' nu > cred ca strica vreo cateva reguli bagate cat mai la intrarea pachetelor, mai > ales cat timp sunt complementare cu restul de reguli din filter (vezi > exemplu meu mai de sus); poate mergeau toate bagate prin filter toate, dar > daca pot sa bag merele si perele in cosuri separate, atunci de ce nu ? > > Alex Eu n-as filtra acolo in principal din motive de troubleshooting. Daca ceva nu merge si suspectez o problema de firewall, ma uit in tabela filter, pentru ca acolo ma astept sa fie _toate_ regulile legate de filtrare. Daca suspectez ca problema e de QoS si are legatura cu marcarea pachetelor, atunci ma uit in tabela mangle, pentru ca acea tabela a fost conceputa cu acest scop. Idem pentru NAT. Am fost in situatia sa ma prind de ce nu treceau pachete din stanga-n dreapta (era intr-o noapte pe la 4) si, daca nu venea cel ce a configurat masina, puteam sa ma uit mult si bine ca probabil nu m-ar fi dus capu`-n veci sa ma uit dupa reguli de DROP in tabela nat. Aici [1] zice ca, in anumite cazuri, chainul PREROUTING poate fi suntat si ramai cu falsa senzatie de securitate. Aici [2] zice sa nu faci filtrare in mangle, dar nu da explicatii de ce. Anywayz, in cazul de fata, filtrarea altundeva decat in filter nu o vad ca fiind mere si pere in cosuri separate, ci mai degraba ca pe o complicatie inutila si posibila generatoare de dureri de cap. [1] http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html#TRAVERSINGOFTABLES [2] http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html#MANGLETABLE _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
