Re: Действие DROP в nat/POSTROUTING и nat/PREROUTING

To: debian-russian@lists.debian.org
Subject: Re: Действие DROP в nat/POSTROUTING и nat/PREROUTING
From: Alexander GQ Gerasiov <gq@cs.msu.su>
Date: Tue, 29 Jul 2008 12:14:21 +0400
Message-id: <[🔎] 20080729121421.0c575242@vice.lan>
In-reply-to: <[🔎] 20080729060914.GA4931@shota.mine.nu>
References: <[🔎] 488E3669.7090400@gmail.com> <[🔎] 20080729035310.32a3c17d@cs.msu.su> <[🔎] 20080729060914.GA4931@shota.mine.nu>

На Tue, 29 Jul 2008 10:09:14 +0400
Stanislav Maslovski <stanislav.maslovski@gmail.com> записано:

> On Tue, Jul 29, 2008 at 03:53:10AM +0400, Alexander GQ Gerasiov wrote:
> > На Tue, 29 Jul 2008 01:13:13 +0400
> > Alexander Tyurin <alexanderyt@gmail.com> записано:
> > 
> > > Приветствую!
> > > Есть хост 192,168,1,20. Все последующие правила прописаны именно
> > > на этом хосте.
> > > 
> > > При правиле
> > > iptables -A INPUT  -p tcp -d 192.168.1.20  -j DROP
> > > доступа к сетевым ресурсам нет. Логично.
> > > 
> > > При
> > > iptables -A OUTPUT  -p tcp -s 192.168.1.20  -j DROP
> > > нет доступа к ресурсм сети. Логично.
> > > 
> > > При
> > > iptables -t nat -A POSTROUTING  -p tcp -s 192.168.1.20  -j DROP
> > > доступа нет. Вот тут уже интересно т.к. не понятно почему.
> > > 
> > > При 
> > > iptables -t nat -A PREROUTING  -p tcp -d 192.168.1.20  -j DROP
> > > а вот это правило не понятно почему не действует. Никаких проблем
> > > с коннектом у хоста не возникает. Кто-нить может объяснить такую
> > > разницу в поведении 2х последних правил?
> > Читать iptables manual aka руководство по iptables на предмет того
> > для каких пакетов какие цепочки из каких таблиц работают.
> > По крайней мере описываемое поведение вполне логично.
> 
> Это, конечно, хорошо сразу ткнуть носом в мануалы, но хоть бы
> подсказали человеку, в каком направлении копать.
> 
> В man странице, например, релевантен имхо только один абзац. И
> истинный смысл его понятен с первого прочтения лишь просветленным:
> 
> nat:
>     This table is consulted when a packet that creates a new
> connection is  encoun‐ tered.   It  consists  of  three built-ins:
> PREROUTING (for altering packets as soon as they come in), OUTPUT
> (for altering locally-generated  packets  before routing), and
> POSTROUTING (for altering packets as they are about to go out).
> 
Не в ман, а в руководство. Там красивые картинки есть какие пакеты как
проходят. На опеннете есть русская версия.

-- 
Best regards,
 Alexander GQ Gerasiov

 Contacts:
 e-mail:    gq@cs.msu.su             Jabber:  gq@jabber.ru
 Homepage:  http://gq.net.ru         ICQ:     7272757
 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D  79B8 0641 D82A E3E3 CE1D

Attachment: signature.asc
Description: PGP signature

Reply to:

Follow-Ups:
- Re: Действие DROP в nat/POSTROUTING и nat/PREROUTING
  - From: Stanislav Maslovski <stanislav.maslovski@gmail.com>

References:
- Действие DROP в nat/POSTROUTING и nat/PREROUTING
  - From: Alexander Tyurin <alexanderyt@gmail.com>
- Re: Действие DROP в nat/POSTROUTING и nat/PREROUTING
  - From: Alexander GQ Gerasiov <gq@cs.msu.su>
- Re: Действие DROP в nat/POSTROUTING и nat/PREROUTING
  - From: Stanislav Maslovski <stanislav.maslovski@gmail.com>

Prev by Date: Re: Действие DROP в nat/POSTROUTING и nat/PREROUTING
Next by Date: Re: Действие DROP в nat/POSTROUTING и nat/PREROUTING
Previous by thread: Re: Действие DROP в nat/POSTROUTING и nat/PREROUTING
Next by thread: Re: Действие DROP в nat/POSTROUTING и nat/PREROUTING
Index(es):
- Date
- Thread