вопрос по iptables и роутингу наверное
Здравствуйте!
Вот какой вопрос меня мучает:
у меня fiewall настроен так, что DNAT-ятся и пропускаются пакеты только на те
адреса/порты/протоколы, которые мне нужны. Все остальное должно дропаться.
Однако, поставив вот такое правило:
iptables -A FORWARD -o $INET_IFACE -d $my_real_network -j LOG --log-prefix "Flooding2: "
я в логе получил вот такие сообщения (где xxx.xxx.xxx.xx{1|2} реальные адреса,
eth1 - интерфейс в сторону провайдера, тот который внутрь локальной сети - eth0):
Flooding2: IN=eth1 OUT=eth1 SRC=195.54.216.187 DST=xxx.xxx.xxx.xx1 LEN=78 TOS=0x00 PREC=0x00 TTL=119 ID=45219 PROTO=UDP SPT=137 DPT=137 LEN=58
Flooding2: IN=eth1 OUT=eth1 SRC=62.205.165.28 DST=xxx.xxx.xxx.xx2 LEN=78 TOS=0x00 PREC=0x00 TTL=120 ID=14969 PROTO=UDP SPT=137 DPT=137 LEN=58
Вопросы такие:
-откуда они берутся если я казалось бы всему лишнему делаю DROP?
-допустим я что-то непонял в функцинировании iptables, тогда эти пакеты на самом
деле уходят провайдеру, а так как в DST= стоит мой адрес, то они опять
приходят обратно и так в цикле пока не сдохнут (TTL=0)?
спасибо.
--
И это тоже пройдет.
Reply to: