iptables a modul string

[l.vlcek na noel-plus.cz]

Pavel Kankovsky wrote:
> Tabulka filter se aplikuje na všechny pakety. Tabulka nat jen na pakety, 
> které podle conntracku nejsou součástí již známého spojení.
>
> Když dáte test do filter, tak bude aplikován na všechny pakety, tedy 
> i na ty, ve kterých jsou data, čili hledaný řetězec najdete (tedy aspoň za 
> předpokladu, že klient není šibal a nebude to posílat nějak chytře 
> segmentované).
>
> Když dáte test do nat, tak bude aplikován jen na první paket spojení (TCP 
> SYN), pak je spojení zapsáno do conntracku a další pakety, zejména ty 
> datové, už přes nat neprocházejí a hledání řetězce v datech nikdy 
> neuspěje.
>
>   
Děkuji za odpověď, vše je nyní jasné
(snad)
:-)

L.V.
jezevec