Nefunguje iptables PREROUTING pro eth1

[d.petr]

---------- Původní e-mail ----------
Od: Pavel Kankovsky <peak na argo.troja.mff.cuni.cz>
Komu: Diskuse o Linuxu v cestine <linux na linux.cz>
Datum: 26. 8. 2017 11:47:09
Předmět: Re: Nefunguje iptables PREROUTING pro eth1 
"On Fri, 25 Aug 2017, d.petr wrote: 

> mám strojek se dvěma ethernetovými rozhraními eth0 a eth1 a na 
> eth1 mi nefunguje PREROUTING v iptables. Už jsem zkusil i 
> iptables -t nat -A PREROUTING -j LOG 
> a loguje se jen z eth0. Přitom 
> iptables -A INPUT -i eth1 -j LOG 
> pakety loguje. Měl by tu někdo nějaké vysvětlení, případně dokonce radu, 
> jak prerouting zprovoznit? 

Výstřel do tmy: 

A jak je na tom PREROUTING v jiných tabulkách (mangle, raw)? 

A co se stane, když logování ve filter omezíte na --state NEW? 

nat je taková trochu magická tabulka, protože se aplikuje pouze při 
vytváření nových spojení. Naopak jiné (včetně filter) jsou aplikovány na 
každý paket. 

-- 
Pavel Kankovsky aka Peak "Que sçay-je?"_____________________________________
__________ 
"



Jiné tabulky nejsou přeložené v jádru.

Že se pravidla aplikují jen na nová spojení, jsem věděl. Ale myslel jsem, že
to platí všude, kromě mangle. Takže zase nový poznatek.

Asi budu tedy muset vytvořit nové jádro, čemuž jsem se snažil vyhnout. Jenže
tím sice možná ty pakety uvidím v mangle, ale potřebuji je přesměrovat. A to
v mangle nejde, takže mi to vlastně moc nepomůže.


Nevíte náhodou, jestli se dá nějak "zapomenout spojení" pro účely iptables? 
Prosté smazání a nová definice pravidel spojení nezapomene. Jedná se mi 
hlavně o udp a icmp.





Díky, Petr