Re: Действие DROP в nat/POSTROUTING и nat/PREROUTING

["Alexander Tiurin" <alexanderyt@gmail.com>]

29 июля 2008 г. 10:35 пользователь Stanislav Maslovski <stanislav.maslovski@gmail.com> написал:

On Tue, Jul 29, 2008 at 01:22:01PM +0700, Ivan Dubrov wrote:
> Alexander Tyurin wrote:
>
>     Приветствую!
>     Есть хост 192,168,1,20. Все последующие правила прописаны именно на этом
>     хосте.
>
>     При правиле
>     iptables -A INPUT  -p tcp -d 192.168.1.20  -j DROP
>     доступа к сетевым ресурсам нет. Логично.
>
>     При
>     iptables -A OUTPUT  -p tcp -s 192.168.1.20  -j DROP
>     нет доступа к ресурсм сети. Логично.
>
>     При
>     iptables -t nat -A POSTROUTING  -p tcp -s 192.168.1.20  -j DROP
>     доступа нет. Вот тут уже интересно т.к. не понятно почему.
>
>     При 
>     iptables -t nat -A PREROUTING  -p tcp -d 192.168.1.20  -j DROP
>     а вот это правило не понятно почему не действует. Никаких проблем с
>     коннектом у хоста не возникает. Кто-нить может объяснить такую разницу в
>     поведении 2х последних правил?
>
> Возможно, картинка поможет: http://wfrag.org/files/tables_traverse.jpg

Картинки такие, увы, новичков с толку сбивают, так как создают ложное
представление, что _все_ пакеты идут через PREROUTING, например.

Да-да!! Все так и есть.

 Причем, сложность в том, что я iptables начал изучать по книге издательства 2008 года (на русском языке), но вот оказалось, что  материал там настолько древний, что даже страшно говорить от том как выглядит схема прохождения пакетов. Это полный анрил.  Тот известный мануал на opennet.ru тоже весьма потрепан временами.