PREROUTING vs INPUT&FORWARD v iptables
Miroslav Petricek
mirek na petricek.cz
Úterý Prosinec 18 20:28:53 CET 2001
On Tue, Dec 18, 2001 at 07:53:04PM +0100, Roskanuk Michal wrote:
> > Je vhodne pouzivat NAT tabulku pro filtrovani paketu ?
>
> Neni to vhodne a nedoporucuje se to s tim, ze za urcitych
> okolnosti muze packet projit nepovsimnut, ackoli by se mel 'matchnout'.
> Jinymi slovy, nat/PREROUTING a nat/POSTROUTING jsou urceny pro
> DNAT, SNAT a maskaradu, nikoli k filtrovani.
>
> Doporucuji shlednout iptables tutorial od Oskara Adreassona:
> http://www.BoingWorld.com/workshops/linux/iptables-tutorial/
> Tam je vse podrobne vysvetleno vcetne packet-flow etc a jsou
> tam i nejake examply.
>
Ten tutorial samozrejme znam, ale prave tam autor pouziva filtrovani
v nat tabulce, kdyz v retezci PREROUTING filtruje RFC1918 adresy.
Zaver tohoto threadu by mohl znit:
Filtrovat pakety v PREROUTINGu lze, ovsem musime mit na pameti, ze
NATem prochazi pouze paket, ktery navazuje spojeni. Pokud se chceme
timto branit pred IP spoofingem, tak je nutne jeste zariznout vsechny
nezadouci non-ESTABLISHED a non-RELATED pakety pomoci stavoveho
firewallu v retezcich INPUT a FORWARD. Dalsi reseni je definovat
si vlastni chain a chytat na nem spoofovame pakety z INPUTu a FORWARDu.
EOT
--
/* Miroslav Petricek mirek na petricek.cz
Brno, Czech Rep. ICQ: 56183467
---- http://www.petricek.cz/ --------------------------
It's entirely untested, but it looks good and
compiles. Ship it! - Linus Torvalds */
Další informace o konferenci Linux