Re: iptables & DNAT
>>>>> On Thu, 26 Sep 2002 16:39:56 +0400
>>>>> "AN" == Andrey Nekrasov <andy@spylog.ru> wrote:
AN>
AN> Что происходит с пакетами, которые приходят на мой роутер из инета,
AN> причем на те адреса, для которых у меня нет реальной машины ( то есть
AN> я для них DNAT не делаю)?
Ожидаемая картина такова:
IP стек должен их discard'нуть и послать на source ip address
ICMP-message "no route to (host|nework)".
AN> Как я понимаю они не должны попасть в цепочку FORWARD и фильтровать
AN> я их не должен?
В действителости получается так:
Пакеты попадают как раз в FORWARD (ну не в INPUT же :)), где для них
не находится правила, и действует policy FORWARD; по умолчанию это
ACCEPT, можно поменять на DROP, ну а лучше
REJECT --reject-with icmp-host-unreachable
Вот. Все, впрочем, чисто теоретически, я этим не занимсался :)
--
Alexander Kotelnikov
Saint-Petersburg, Russia
Reply to: