Re: Действие DROP в nat/POSTROUTING и nat/PREROUTING

To: debian-russian@lists.debian.org
Subject: Re: Действие DROP в nat/POSTROUTING и nat/PREROUTING
From: Покотиленко Костик <casper@meteor.dp.ua>
Date: Mon, 04 Aug 2008 11:24:54 +0300
Message-id: <[🔎] 1217838295.4178.18.camel@casper.meteor.dp.ua>
Reply-to: casper@meteor.dp.ua
In-reply-to: <488E3669.7090400@gmail.com>
References: <488E3669.7090400@gmail.com>

В Вто, 29/07/2008 в 01:13 +0400, Alexander Tyurin пишет:
> Приветствую!
> Есть хост 192,168,1,20. Все последующие правила прописаны именно на
> этом хосте.

> При
> iptables -t nat -A POSTROUTING  -p tcp -s 192.168.1.20  -j DROP 
> 
> доступа нет. Вот тут уже интересно т.к. не понятно почему. 
> 
Первый пакет начинающий соединение (SYN) дропается, соединение не
устанавливается, логично.

> При  
> iptables -t nat -A PREROUTING  -p tcp -d 192.168.1.20  -j DROP
> а вот это правило не понятно почему не действует. Никаких проблем с
> коннектом у хоста не возникает. Кто-нить может объяснить такую разницу
> в поведении 2х последних правил?

Первый пакет начинающий соединение (SYN) НЕ дропается, соединение
устанавливается, остальные пакеты этого соединения в nat не попадут,
логично. Однако, коннекты на эту машину не пройдут.

Почитайте как работает conntrack и таблица nat в iptables.

-- 
Покотиленко Костик <casper@meteor.dp.ua>

Reply to:

Prev by Date: Re: iptables: REDIRECT and DNAT
Next by Date: Re: Действие DROP в nat/POSTROUTING и nat/PREROUTING
Previous by thread: Re: iptables: REDIRECT and DNAT
Next by thread: Re: Действие DROP в nat/POSTROUTING и nat/PREROUTING
Index(es):
- Date
- Thread