Re: Lógica do IPTABLES

To: Davi <davividal@siscompar.com.br>
Cc: debian-user-portuguese@lists.debian.org
Subject: Re: Lógica do IPTABLES
From: Junior Polegato - Linux <linux@juniorpolegato.com.br>
Date: Thu, 29 Mar 2007 13:25:03 +0000
Message-id: <[🔎] 460BBE2F.1020806@juniorpolegato.com.br>
In-reply-to: <[🔎] 200703291237.40423.davividal@siscompar.com.br>
References: <[🔎] 301a065a0703290350m2d80b4d8keb966456dc7a6b5a@mail.gmail.com> <[🔎] 200703290914.27485.davividal@siscompar.com.br> <[🔎] 460BC8AE.8090701@netsite.com.br> <[🔎] 200703291237.40423.davividal@siscompar.com.br>

Davi escreveu:

Em Quinta 29 Março 2007 11:09, Daniel Vieira Dias escreveu:

 Davi escreveu:
Em Quinta 29 Março 2007 07:50, André escreveu:
Caros colegas,
Gostaria de entender melhor sobre a lógica de como um determinado pacote é
analisado pelo IPTABLES, tipo... gostaria de saber se mudar a ordem das
regras se isso vai influenciar em alguma coisa... e como é analisado esse
tipo de coisa (Qual a sequência de análise das Regras?)... Na net já
encontrei muita coisa sobre as regras, mas não vi ainda algo falando como
essas regras são tratadas (a sequencia e tudo mais). Espero ter conseguido
expor minha dúvida aqui e que o colegas possam me orientar.

Se você rodar um
# iptables -L
Você vai ver _todas_ as regras da tua máquina... Elas são analisadas em
ordem: de cima para baixo.


Olá,

Não está errado, mas incompleto, pois a opção -L sem a opção -t<tabela> assume que a tabela é a "filter", a qual se aplica somentedepois de roteado o pacote, e somente mostra as regras da mesma. Paraver as outras use:


# iptables -t mangle -L ; iptables -t nat -L ; iptables -L

Agora sim a vemos tudo... ;-) Se usar também a opções -vpoderá ver mais informações


 Porém a seqüência não está correta...

 A seqüência correta seria:

1) pacote entrante na interface antes de ser roteado (Pre-Routing):mangle/prerouting => nat/prerouting => 22) roteamento: se vai para o próprio firewall (Input => 3) ou oatravessa (Forward => 4)3) para o próprio firewall (Input): magle/input => filter/input => morrenum processo local

4) atravessa o firewall (Forward): mangle/forward => filter/forward => 5

5) pacote sainte depois de roteado (Post-Routing): magle/postrouting =>nat/postrouting => vai para a rede6) pacote sainte de um processo local (Output): magle/output =>nat/output => filter/output => 5

Em cada elo (Pre-Routing, Input, Forward, Output e Post-Routing), asregras são verificas de cima para baixo, sendo que quando o pacote casacom a condição da regra, "executa" o que estiver programado, podendo opacote, dependendo da regra, ser morto aí mesmo ou continuar passandopelas regras até que termine e, após ter passado por todas as regras, sepassar, cai na regra suprema do elo (chain), chamada de política do elo(chain policy).


Acho que isso é o básico que se precisa saber.

--
Atenciosamente,

          Junior Polegato

          Um peregrino de problemas; Um pergaminho de soluções!
          Página Profissional: http://www.juniorpolegato.com.br

Reply to:

References:
- Lógica do IPTABLES
  - From: "André" <andrelfm@gmail.com>
- Re: Lógica do IPTABLES
  - From: Davi <davividal@siscompar.com.br>
- Re: Lógica do IPTABLES
  - From: Daniel Vieira Dias <dandias@netsite.com.br>
- Re: Lógica do IPTABLES
  - From: Davi <davividal@siscompar.com.br>

Prev by Date: Re: Lógica do IPTABLES
Next by Date: Re: Lógica do IPTABLES
Previous by thread: Re: Lógica do IPTABLES
Next by thread: Re: Lógica do IPTABLES
Index(es):
- Date
- Thread