Re: Действие DROP в nat/POSTROUTING и nat/PREROUTING
В Вто, 29/07/2008 в 01:13 +0400, Alexander Tyurin пишет:
> Приветствую!
> Есть хост 192,168,1,20. Все последующие правила прописаны именно на
> этом хосте.
> При
> iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.20 -j DROP
>
> доступа нет. Вот тут уже интересно т.к. не понятно почему.
>
Первый пакет начинающий соединение (SYN) дропается, соединение не
устанавливается, логично.
> При
> iptables -t nat -A PREROUTING -p tcp -d 192.168.1.20 -j DROP
> а вот это правило не понятно почему не действует. Никаких проблем с
> коннектом у хоста не возникает. Кто-нить может объяснить такую разницу
> в поведении 2х последних правил?
Первый пакет начинающий соединение (SYN) НЕ дропается, соединение
устанавливается, остальные пакеты этого соединения в nat не попадут,
логично. Однако, коннекты на эту машину не пройдут.
Почитайте как работает conntrack и таблица nat в iptables.
--
Покотиленко Костик <casper@meteor.dp.ua>
Reply to: