[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] Reihenfolge der iptables rules

On Thu, Jun 01, 2006 at 05:40:25PM +0200, Thomas Gräber wrote:
> Im Gegensatz zu pf, wenn ich das richtig verstanden habe, arbeitet iptables 
> die Regeln von oben nach unten ab und nimmt die erste Regel, die passt, alle 
> darunter werden für das Paket dann ignoriert. 

Jein: zwar arbeitet iptables die Regeln erst mal "von oben nach unten" ab.
Aber zum einen kannst Du in iptables z.B. mittels "-j" die Reihenfolge der
Abarbeitung aendern. Zum anderen gibt es Regeln, die durchaus die weitere
Verarbeitung zulassen, sonst koenntest Du z.B. nicht erst loggen und dann
ein reject erzeugen.

Ein Beispiel:

  $IPT -A icmp_packets --fragment -p ICMP -j LOG --log-prefix "DROP: "
  $IPT -A icmp_packets --fragment -p ICMP -j DROP

Hier wird erst ein Log-Eintrag erzeugt, dann das Packet weggeworfen (es
koennte auch akzeptiert werden).

	--jc

-- 
  Ignorance more frequently begets confidence than does knowledge.
	-- Charles Darwin
Reply to: