PREROUTING vs INPUT&FORWARD v iptables
Roskanuk Michal
Michal.Roskanuk na merlin.cz
Úterý Prosinec 18 19:53:04 CET 2001
> zajimalo by me, jaky je prakticky rozdil mezi temito dvema zapisy
> v prostedi iptables:
>
> iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP
> a
> iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
> iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP
>
> Jsou oba zapisy ekvivalentni?
> Je vhodne pouzivat NAT tabulku pro filtrovani paketu ?
Neni to vhodne a nedoporucuje se to s tim, ze za urcitych
okolnosti muze packet projit nepovsimnut, ackoli by se mel 'matchnout'.
Jinymi slovy, nat/PREROUTING a nat/POSTROUTING jsou urceny pro
DNAT, SNAT a maskaradu, nikoli k filtrovani.
Doporucuji shlednout iptables tutorial od Oskara Adreassona:
http://www.BoingWorld.com/workshops/linux/iptables-tutorial/
Tam je vse podrobne vysvetleno vcetne packet-flow etc a jsou
tam i nejake examply.
MR
Další informace o konferenci Linux