Re: iptables Tabellenreihenfolge
Am Tue, 25 Jan 2005 15:50:14 +0100 sprach Andreas Pakulat
<apaku@gmx.de>:
> Hi,
hoi.
> da ich mich mit Routing nicht sooo sehr auskenne und die Beschreibung
> der diversen iptables-Tabellen/Chains mir nicht so recht hilft:
>
> Wenn ein Rechner im Lan ne Verbindung ins Netz (I-Net) über nen Router
> herstellt, welche Tabellen/Chains werden in welcher Reihenfolge
> abgearbeitet auf dem Router?
>
> Ich denke ungefähr so:
>
> <packet>->nat/pre-routing->forward->nat/postrouting->
seh' ich auch so.
> Oder ist da was falsch. Der Router macht NAT und ich brauch einfach
das NAT ist vermutlich postrouting dh. der ausgehende (inet) verbindung
wird eine andere ip gegeben, die verbindung gemerkt und das retour
packet wieder zurueckgeschrieben.
file://localhost/usr/share/doc/iptables/html/NAT-HOWTO-3.html
file://localhost/usr/share/doc/iptables/html/packet-filtering-HOWTO-6.html
..sollte auch bei www.netfilter.org zu finden sein.
> nur ne passende Ansatzstelle um die Pakete zu loggen, die ins Netz
> rausgehen (und wenns geht auch die jeweils reingehen), nach
> Source-IP-aus-LAN differenziert - sprich das MASQUERADE darf noch
> nicht greifen...
greift erst postrouting wenn -t nat -A POSTROUTING.
ich mach das mit ipac-ng und hab ein extra interface - da konnt ich mir
eine genauere inspektion sparen.
> Geh ich also richtig in der Annahme dass ich dazu die
> FORWARD-Chain nutzen sollte?
jep. sollt so sein. mit iptables -L -v testen (und packete/bytes
zaehlen).
> Andreas
sl ritch.
Reply to: