zaujimava vlastnost kernelu

Úterý Duben 12 18:31:55 CEST 2005

Zdravim.
Prave som prisiel na zaujimavu vlastnost o ktorej som doteraz nevedel.
Dufam ze mi ju bude niekto z vas schopny vysvetlit, lebo pre mna to je
zahada.

Majme takto postavenu siet:
Vsetky chainy iptables su ciste.

server(ip-x.x.x.x)------router(firewall)------pcdlo(ip-y.y.y.y)

Spravim si jednoduche pravidlo do PREROUTINGU, ktorym chcem chcem VSETKY
prichodzie spojenia posunut do chainu SKOK a tam vsetko blokujem.

Chain PREROUTING (policy ACCEPT)
target     prot opt source            destination
SKOK    all  --  0.0.0.0/0            y.y.y.y

Chain SKOK (1 references)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Po tadeto mi to funguje. Vsetko na siet y.y.y.y zahadzuje. T.j. aj ked sa
pokusam pingat na siet x.x.x.x, tak mi ping nefunguje.

A teraz pre mna velka zahada:
Priamo do FORWARDU vlozim pravidlo, kde poviem ze vsetko NA y.y.y.y
povolit a taktiez vsetko Z y.y.y.y povolit a ostatne zahodit.

Cize:
Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  y.y.y.y              0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            y.y.y.y

Ja som si myslel, ze FORWARD ide az po PREROUTINGu. T.j. v tomto pripade
je jedno co tam dam a vsetko bude aj tak blokovane. Lenze nie ! Ono mi
ping z y.y.y.y na x.x.x.x funguje. Ale opacne ping z x.x.x.x na y.y.y.y
nefunguje.

A dalsia vec. Akonahle zrusim HOCIKTORE z tych 2 pravidiel vo FORWARDE,
tak ping prestane chodit.

OS RH9
2.4.20-42.9.legacy #1 Sun Feb 20 14:08:04 EST 2005 i686 i686
i386 GNU/Linux
iptables v1.2.7a

Ocakavam Vase nazory :-)

--
   Bc. Jan 'EIS' Satko       Slovak University of Agriculture
 network & system manager            Tr. A. Hlinku 2
  Tel: +421 37 7412 616           949 76 Nitra Slovakia