Re: Действие DROP в nat/POSTROUTING и nat/PREROUTING
On Tue, Jul 29, 2008 at 01:22:01PM +0700, Ivan Dubrov wrote:
> Alexander Tyurin wrote:
>
> Приветствую!
> Есть хост 192,168,1,20. Все последующие правила прописаны именно на этом
> хосте.
>
> При правиле
> iptables -A INPUT -p tcp -d 192.168.1.20 -j DROP
> доступа к сетевым ресурсам нет. Логично.
>
> При
> iptables -A OUTPUT -p tcp -s 192.168.1.20 -j DROP
> нет доступа к ресурсм сети. Логично.
>
> При
> iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.20 -j DROP
> доступа нет. Вот тут уже интересно т.к. не понятно почему.
>
> При
> iptables -t nat -A PREROUTING -p tcp -d 192.168.1.20 -j DROP
> а вот это правило не понятно почему не действует. Никаких проблем с
> коннектом у хоста не возникает. Кто-нить может объяснить такую разницу в
> поведении 2х последних правил?
>
> Возможно, картинка поможет: http://wfrag.org/files/tables_traverse.jpg
Картинки такие, увы, новичков с толку сбивают, так как создают ложное
представление, что _все_ пакеты идут через PREROUTING, например.
--
Stanislav
Reply to: