Re: IPTables any more...
Как-то Tue, 22 Apr 2003 11:10:44 +0600
"Dimitry N. Naldaev" <dima@tik.perm.ru> писал(а):
> это я к тому, что правила подсчета трафика нужно выкинуть :-)
> я до сих пор сижу на ipcains по тому, что мне лениво переделывать на iptables
> Поскольку после прочтения доки по последней я так и не понял как грамотно все
> организовать --- там слишком много разных ручек, за которые можно дергать...
> а это означает, что такое понимание может придти только с опытом...
> по этому совет начни с самой простой конфигурации. Выкини вообще все
> дополнительные цепочки --- они нужны для оптимизации, а пока нужно заставить
> просто работать... потом добовляй правила по одному. нужен доступ 192.168.1.0
> <-> 172.16.6.13 добавь соответствующие правила. добейся чтобы они заработали
> потом добавляй следующие правила и так далее. потом, когда все будет работать,
> можно будет заняться оптимизацией и разнесением правил по дополнительным
> цепочкам. согласен этот процесс несколько затянут, но так ошибки проще
> выявлять...
> ЗЫ в iptables (на сколько я понял) нужно настраивать правила и для ответных
> пакетов, а не для всего соединения, как в ipchains...
Вот именно эти правила, написанные на мой взгляд правильно, и не работают.....
Хотя организован пропуск в обе стороны.....Пакет попадает во вложенную цепочку, но
не проходит ни по одному правилу внутри, хотя должен, и естественно отбрасывается...
Мне было интересно, что же не так в этих правилах..... С подсчетом я и сам разберусь...
Самое интересное в цепочке in_filter_chain... См.оригинальное сообщение...аттачь....
--
UIN: 119944395 HP: http://mkaudio.sf.net/, http://fssg.st-oskol.ru/
Andrey Andruschenko, SOLUG/SOFSSG , инженер-программист, Старооскольский ГорПТУС
Reply to: