iptables a modul string

[Pavel Kankovsky]

On Fri, 13 Jun 2008, l.vlcek na noel-plus.cz wrote:

> pri vypisu pravidel je videt, ze pocitadla jsou nenulova, takze pravidlo 
> zabralo. Kdyz bylo toto pravidlo v tabulce filter. V tabulce nat 
> zustavala nulova...

Tabulka filter se aplikuje na všechny pakety. Tabulka nat jen na pakety, 
které podle conntracku nejsou součástí již známého spojení.

Když dáte test do filter, tak bude aplikován na všechny pakety, tedy 
i na ty, ve kterých jsou data, čili hledaný řetězec najdete (tedy aspoň za 
předpokladu, že klient není šibal a nebude to posílat nějak chytře 
segmentované).

Když dáte test do nat, tak bude aplikován jen na první paket spojení (TCP 
SYN), pak je spojení zapsáno do conntracku a další pakety, zejména ty 
datové, už přes nat neprocházejí a hledání řetězce v datech nikdy 
neuspěje.

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21th century edition /