[Tech] Stranezza su IPTables
Simone Piccardi
piccardi@firenze.linux.it
Mer 4 Lug 2001 15:26:14 CEST
On Wed, Jul 04, 2001 at 03:34:54PM -0400, St0rM wrote:
> Ehm... E' esattamente quello che ho detto io... io mi riferivo
> all'indirizzo di partenza, non a quello di destinazione... E al fatto
> che, arrivati al momento di controllare le regole di FORWARD, un
> pacchetto che PARTA da un computer esterno per arrivare ad A, che sia o
> meno passato attraverso il DE-MASQUERAMENTO non e' possibile saperlo. E
> quindi non e' possibile filtrarlo in base a questo.
Veramente se e` passato attraverso il demascheramento (quando usi -j
MASQ) il kernel lo sa eccome, e infatti lo fa passare direttamente
alla catena di output secondo lo schemino (preso direttamente da
iptable-howto):
----------------------------------------------------------------
| ACCEPT/ lo interface |
v REDIRECT _______ |
--> C --> S --> ______ --> D --> ~~~~~~~~ -->|forward|----> _______ --> h a |input | e {Routing } |Chain | |output |ACCEPT
e n |Chain | m {Decision} |_______| --->|Chain |
c i |______| a ~~~~~~~~ | | ->|_______|
k t | s | | | | |
s y | q | v | | |
u | v e v DENY/ | | v
m | DENY/ r Local Process REJECT | | DENY/
| v REJECT a | | | REJECT
| DENY d --------------------- |
v e -----------------------------
DENY
e come vedi il forward viene saltato.
Ciao
Simone
Maggiori informazioni sulla lista
flug-tech