IPTABLES E TABELLE

[Valerio Pachera]

2005/9/1, marchino <marchino@tin.it>:
Il giorno gio, 01/09/2005 alle 14.49 +0200, Valerio Pachera ha scritto:
> 2242.html
>
> voglio ottenere un grafico come quello allegato di tutte e 3 le
> tabelle, NAT , MINGLE, FILTER.

Penso questa sia più completa:

http://www.siliconvalleyccie.com/images/iptables.gif
>
Ciao
---------------------------------------
SEI UN MITO, era proprio quello che volevo ottenere, o lo trovo bello 
pronto.
Per applicare le regole di iptables è INDISPENSABILE conosce il percorso che 
fa un pacchetto, quali catene percorre e in che ordine.
Scrivere le regole giuste con ordine sbagliato equivale ad un firewall che 
non funziona come dovrebbe o non funziona proprio.

Ho dato una bella occhia alla tabella e c'è una cosa che non mi torna:
i pacchetti prendono catene diverse, a seconda che siano diretti al firewall 
o ad un altra interfaccia non appartenente al firewall (un altro computer 
per capirsi).
A livello di catene, la differenza è che i pacchetti VERSO il firewall 
(siano essi diretti ad eth0, scheda di rete, o a ppp0, modem) entrano 
attraverso le catene di INPUT ed escono da quelle di OUTPUT.
I pacchetti diretti verso una diversa interfaccia (es indirizzo pubblico di 
google) entrano dalle catene di PREROUTING (nat e mangle) ed escono da 
quelle di POSTROUTING (nat e mangle) e FORWARD (filter).
Questo è perfettamente logico.
Quello che non mi torna è che in alto a sx, cioè alla fine del percorso dei 
pachetti diretti verso il firewall, si trovino le catene "nat POSTROUTING" e 
"mangle POSTROUTING".
Non ha senso (credo) che 2 catene si trovino su entrambi i percorsi.
Che utilità possono avere lì quelle 2 catene ?
Che ne pensate ?
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: http://lists.linux.it/pipermail/linuxludus/attachments/20050902/f1fa45f9/attachment.htm