Re: Duda sobre reglas de iptables

To: debian-user-spanish@lists.debian.org
Subject: Re: Duda sobre reglas de iptables
From: Manolo Díaz <dusml@pleione.es>
Date: Wed, 24 Oct 2007 16:40:24 +0200
Message-id: <[🔎] 20071024164024.6f82bfe0@altair.stellarium>
In-reply-to: <[🔎] 1193176789.7314.10.camel@crono.navarrux.org>
References: <[🔎] 20071023202330.0139a2cf@altair.stellarium> <[🔎] 1193176789.7314.10.camel@crono.navarrux.org>

El Tue, 23 Oct 2007 23:59:49 +0200
Iñigo Tejedor Arrondo <inigo.listas@gmail.com> escribió:

> El mar, 23-10-2007 a las 20:23 +0200, Manolo Díaz escribió:
> > Saludos,
> > 
> > 	Tengo una duda sobre los chequeos que hace iptables: si en
> > una regla especifico que el protocolo ha de ser TCP, ¿hace alguna
> > comprobación extra si también le indico que el paquete ha de
> > coincidir con dicho protocolo? Es decir, ¿Es más selectivo '-p tcp
> > -m tcp' que '-p tcp' únicamente, o es completamente redundante?
> > 
> > Gracias.
> 
> Aupa,
> 
> En versiones anteriores no se, hoy en día, -m tcp es totalmente
> redundante.
> 
> Es decir:
> 
> -p tcp, si el paquete hace matching (es de tipo tcp), se continua
> evaluando la regla y se cargan las extensiones 'tcp' del man iptables
> (--dport, etc).
> 
> -m tcp, únicamente, carga las extensiones 'tcp' del man iptables, para
> poder utilizar sus argumentos.
> 
> Desconozco si especificando -m tcp, estás haciendo trabajar más al
> stack (tal vez lo ignora, o tal vez lo "trata de cargar" en cada
> regla que lo especifiques). Lo que si tengo claro, es que si no lo
> pones, todo funciona igual.
> 
> Con -p haces matching de protocolo. Con -m tcp, únicamente te aseguras
> de disponer de ciertos parámetros (posteriores) de matching
> (innecesarios si utilizas -p) que mientras no los especifiques, no
> hacen maching.
> 
> Llega un paquete icmp... con -p tcp, directamente no hace matching.
> Con -m tcp, se sigue evaluando la regla, hasta llegar a un parámetro
> (p.ej. si luego pone --dport 22, entonces dejará de hacer matching el
> paquete)
> 
> No se si he sido claro o te he liado más xDDDD
> 
> saludos.
> 
> 
> 

Gracias por tu respuesta, Iñigo.

La parte operativa queda clara: ambas formas dejan pasar exactamente
los mismos paquetes.

También entiendo que hay cierta diferencia en la manera de actuar, pero
sobre el funcionamiento interno de iptables no tenía ni idea. Tan sólo
comprendía medianamente bien las reglas del juego, fundamentalmente
para la tabla de filtrado.

De nuevo te doy las gracias. Has respondido a la pregunta y un poco
más :)

Saludos

-- 
Manolo Díaz

Reply to:

References:
- Duda sobre reglas de iptables
  - From: Manolo Díaz <dusml@pleione.es>
- Re: Duda sobre reglas de iptables
  - From: Iñigo Tejedor Arrondo <inigo.listas@gmail.com>

Prev by Date: WPA modo AdHoc
Next by Date: Teclado en X
Previous by thread: Re: Duda sobre reglas de iptables
Next by thread: filtrado de postfix
Index(es):
- Date
- Thread