[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Действие DROP в nat/POSTROUTING и nat/PREROUTING

On Tue, Jul 29, 2008 at 11:48:07AM +0400, Artem Chuprina wrote:
> Правило в цепочке nat срабатывает только на первый пакет "соединения" (в
> кавычках, потому что имеется в виду соединение в понимании conntrack, а
> не в строгом; т.е. ответ на DNS-запрос будет считаться вторым пакетом
> соединения).  Просторечное "доступ к сетевым ресурсам" переводится как
> "первый пакет - исходящий".  Через цепочку POSTROUTING он в силу этого
> пройдет, а через цепочку PREROUTING - нет.
> 
> Интересно, почему до меня этого никто не сказал?..

Вообще? Или в этом треде?
Если вообще, то сказали, во многих местах, хотя и не доходчиво для новичков.
Если в треде, то тут причина в желании запустить мыслительный процесс
в головах читателей.

> Впрочем, я и сам
> как-то не прямо сразу сообразил.

Рано или поздно просветление приходит ;)

> Вообще же дропать пакеты в цепочках nat и mangle без крайней
> необходимости не рекомендуется.  Но для экспериментов и осознания
> принципов работы, конечно, можно и полезно.
> 
> А самое лучшее изложение, которое я видел -
> 
> http://iptables-tutorial.frozentux.net/
> 
> Заняться, что ли, переводом?..

А что, займись! Дело полезное.

-- 
Stanislav
Reply to: