2011/1/17 Florin Popovici <[email protected]>: > 2011/1/16 Alex 'CAVE' Cernat <[email protected]> > >> Se pare ca ma cam lasa memoria daca pun intrebari din astea, dar uite ca am >> un lapsus. >> Daca am o regula in mangle/prerouting sa zicem (ca sa fie primele reguli >> aplicate) care e cu accept, din cate imi aduc aminte zboara doar din >> mangle, >> dar va fi trecuta si prin nat si apoi si filter, unde pot acolo fie sa-i >> dau >> drumul la randul lor, fie sa le tai. >> In schimb (macar asta stiu sigur), daca ii dau cu drop din mangle nu mai >> ajunge mai jos in filter sau nat. >> >> > Hello, > > 1. tabela "mangle" este pentru modificarea pachetelor. Daca vrei sa alterezi > pachetele (set MSS, set mark, alter TTL, etc), aici faci asta. Sigur, poti > sa faci si Drop, dar nu asta e rostul ei. > > 2. tabela "raw" este parcursa inainte ca pachetele sa ajunga in codul de > connection tracking. Eu am folosit-o cu succes pentru a opri flooduri. YMMV. > > 3. tabela "filter" este locul in care ar trebui sa pui logica de ne- / > permitere a pachetelor. In ea nu poti in schimb sa modifici pachetele ca si > in "mangle". > > 4. in oricare din tabelele astea faci Drop, pachetul e sters si nu mai > ajunge niciunde mai departe. Daca faci ACCEPT, pachetul va trece in tabela > urmatoare. Atentie la ordinea de procesare: > http://en.wikipedia.org/wiki/File:Netfilter-packet-flow.svg
Inca un tip pe care nu l-am vazut mentionat aici: prin tabela "nat" (cred ca si prin "mangle", dar nu bag mana in foc) trece doar primul pachet al unei conexiuni (dpdv conntrack), restul se duc dupa primul. Informatia asta e foarte utila cand schimbi niste reguli de nat si te miri de ce nu se vede la ping sau udp :D > > Bonus tip: poti vedea toate conexiunile de care stie conntrack-ul, in > /proc/net/ip_conntrack. In combinatie cu niste awk-fu, posibilitatile sunt > nelimitate :) > Bonus tip x2: aptitude install conntrack ( si eventual si conntrackd), read the docs. -- Petre. _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
