2011/1/16 Alex 'CAVE' Cernat <[email protected]> > Se pare ca ma cam lasa memoria daca pun intrebari din astea, dar uite ca am > un lapsus. > Daca am o regula in mangle/prerouting sa zicem (ca sa fie primele reguli > aplicate) care e cu accept, din cate imi aduc aminte zboara doar din > mangle, > dar va fi trecuta si prin nat si apoi si filter, unde pot acolo fie sa-i > dau > drumul la randul lor, fie sa le tai. > In schimb (macar asta stiu sigur), daca ii dau cu drop din mangle nu mai > ajunge mai jos in filter sau nat. > > Hello,
1. tabela "mangle" este pentru modificarea pachetelor. Daca vrei sa alterezi pachetele (set MSS, set mark, alter TTL, etc), aici faci asta. Sigur, poti sa faci si Drop, dar nu asta e rostul ei. 2. tabela "raw" este parcursa inainte ca pachetele sa ajunga in codul de connection tracking. Eu am folosit-o cu succes pentru a opri flooduri. YMMV. 3. tabela "filter" este locul in care ar trebui sa pui logica de ne- / permitere a pachetelor. In ea nu poti in schimb sa modifici pachetele ca si in "mangle". 4. in oricare din tabelele astea faci Drop, pachetul e sters si nu mai ajunge niciunde mai departe. Daca faci ACCEPT, pachetul va trece in tabela urmatoare. Atentie la ordinea de procesare: http://en.wikipedia.org/wiki/File:Netfilter-packet-flow.svg Bonus tip: poti vedea toate conexiunile de care stie conntrack-ul, in /proc/net/ip_conntrack. In combinatie cu niste awk-fu, posibilitatile sunt nelimitate :) HTH -- www.flo.ro _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
