Re: Действие DROP в nat/POSTROUTING и nat/PREROUTING
В Втр, 29/07/2008 в 01:13 +0400, Alexander Tyurin пишет:
> Приветствую!
> Есть хост 192,168,1,20. Все последующие правила прописаны именно на
> этом хосте.
Рассматривается схема прохождения пакетов к ЛОКАЛЬНЫМ процессам, значит
цепочка FILTER
> При
> iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.20 -j DROP
>
> доступа нет. Вот тут уже интересно т.к. не понятно почему.
>
> При
> iptables -t nat -A PREROUTING -p tcp -d 192.168.1.20 -j DROP
> а вот это правило не понятно почему не действует. Никаких проблем с
> коннектом у хоста не возникает. Кто-нить может объяснить такую разницу
> в поведении 2х последних правил?
PREROUTING прохождение к локальным процессам не фильтрует по
определению.
Возьмите схему цепочек и порисуйте стрелочки куда что идет.
Рекомендую книжку "LINUX. Руководство администратора сети" O'RELLY, Тони
Боттс и др.
Reply to: