<p>2005/9/1, marchino <<a href="mailto:marchino@tin.it">marchino@tin.it</a>>:<br>Il giorno gio, 01/09/2005 alle 14.49 +0200, Valerio Pachera ha scritto:<br>> 2242.html<br>><br>> voglio ottenere un grafico come quello allegato di tutte e 3 le
<br>> tabelle, NAT , MINGLE, FILTER.</p>
<p>Penso questa sia più completa:</p>
<p><a href="http://www.siliconvalleyccie.com/images/iptables.gif">http://www.siliconvalleyccie.com/images/iptables.gif</a><br>><br>Ciao<br>---------------------------------------<br>SEI UN MITO, era proprio quello che volevo ottenere, o lo trovo bello pronto.
<br>Per applicare le regole di iptables è INDISPENSABILE conosce il percorso che fa un pacchetto, quali catene percorre e in che ordine.<br>Scrivere le regole giuste con ordine sbagliato equivale ad un firewall che non funziona come dovrebbe o non funziona proprio.
</p>
<p>Ho dato una bella occhia alla tabella e c'è una cosa che non mi torna:<br>i pacchetti prendono catene diverse, a seconda che siano diretti al firewall o ad un altra interfaccia non appartenente al firewall (un altro computer per capirsi).
<br>A livello di catene, la differenza è che i pacchetti VERSO il firewall (siano essi diretti ad eth0, scheda di rete, o a ppp0, modem) entrano attraverso le catene di INPUT ed escono da quelle di OUTPUT.<br>I pacchetti diretti verso una diversa interfaccia (es indirizzo pubblico di google) entrano dalle catene di PREROUTING (nat e mangle) ed escono da quelle di POSTROUTING (nat e mangle) e FORWARD (filter).
<br>Questo è perfettamente logico.<br>Quello che non mi torna è che in alto a sx, cioè alla fine del percorso dei pachetti diretti verso il firewall, si trovino le catene "nat POSTROUTING" e "mangle POSTROUTING".
<br>Non ha senso (credo) che 2 catene si trovino su entrambi i percorsi.<br>Che utilità possono avere lì quelle 2 catene ?<br>Che ne pensate ?</p>