Re: iptables & DNAT

To: debian-russian@lists.debian.org
Subject: Re: iptables & DNAT
From: Alexander Kotelnikov <sacha@debian.org>
Date: Thu, 26 Sep 2002 23:03:55 +0400
Message-id: <[🔎] 8765wsbmjo.fsf@pale.loc>
In-reply-to: <[🔎] 20020926123956.GB21705@an.local> (Andrey Nekrasov's message of "Thu, 26 Sep 2002 16:39:56 +0400")
References: <[🔎] 20020926123956.GB21705@an.local>

>>>>> On Thu, 26 Sep 2002 16:39:56 +0400
>>>>> "AN" == Andrey Nekrasov <andy@spylog.ru> wrote:
AN> 
AN>  Что происходит с пакетами, которые приходят на мой роутер из инета,
AN>  причем на те адреса, для которых у меня нет реальной машины ( то есть
AN>  я для них DNAT не делаю)?

Ожидаемая картина такова:
IP стек должен их discard'нуть и послать на source ip address
ICMP-message "no route to (host|nework)".

AN>  Как я понимаю они не должны попасть в цепочку FORWARD и фильтровать
AN>  я их не должен? 

В действителости получается так:
Пакеты попадают как раз в FORWARD (ну не в INPUT же :)), где для них
не находится правила, и действует policy FORWARD; по умолчанию это
ACCEPT, можно поменять на DROP, ну а лучше 
REJECT --reject-with icmp-host-unreachable

Вот. Все, впрочем, чисто теоретически, я этим не занимсался :)
-- 
Alexander Kotelnikov
Saint-Petersburg, Russia

Reply to:

References:
- iptables & DNAT
  - From: Andrey Nekrasov <andy@spylog.ru>

Prev by Date: CUPS & Russian test
Next by Date: Re: Русификация XFree86 4.0
Previous by thread: iptables & DNAT
Next by thread: Digital IC Recorder
Index(es):
- Date
- Thread