zaujimava vlastnost kernelu
Jan Satko
satko na quanto.nr.sanet.sk
Úterý Duben 12 18:31:55 CEST 2005
Zdravim.
Prave som prisiel na zaujimavu vlastnost o ktorej som doteraz nevedel.
Dufam ze mi ju bude niekto z vas schopny vysvetlit, lebo pre mna to je
zahada.
Majme takto postavenu siet:
Vsetky chainy iptables su ciste.
server(ip-x.x.x.x)------router(firewall)------pcdlo(ip-y.y.y.y)
Spravim si jednoduche pravidlo do PREROUTINGU, ktorym chcem chcem VSETKY
prichodzie spojenia posunut do chainu SKOK a tam vsetko blokujem.
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
SKOK all -- 0.0.0.0/0 y.y.y.y
Chain SKOK (1 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0
Po tadeto mi to funguje. Vsetko na siet y.y.y.y zahadzuje. T.j. aj ked sa
pokusam pingat na siet x.x.x.x, tak mi ping nefunguje.
A teraz pre mna velka zahada:
Priamo do FORWARDU vlozim pravidlo, kde poviem ze vsetko NA y.y.y.y
povolit a taktiez vsetko Z y.y.y.y povolit a ostatne zahodit.
Cize:
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- y.y.y.y 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 y.y.y.y
Ja som si myslel, ze FORWARD ide az po PREROUTINGu. T.j. v tomto pripade
je jedno co tam dam a vsetko bude aj tak blokovane. Lenze nie ! Ono mi
ping z y.y.y.y na x.x.x.x funguje. Ale opacne ping z x.x.x.x na y.y.y.y
nefunguje.
A dalsia vec. Akonahle zrusim HOCIKTORE z tych 2 pravidiel vo FORWARDE,
tak ping prestane chodit.
OS RH9
2.4.20-42.9.legacy #1 Sun Feb 20 14:08:04 EST 2005 i686 i686
i386 GNU/Linux
iptables v1.2.7a
Ocakavam Vase nazory :-)
--
Bc. Jan 'EIS' Satko Slovak University of Agriculture
network & system manager Tr. A. Hlinku 2
Tel: +421 37 7412 616 949 76 Nitra Slovakia
Další informace o konferenci Linux