Re: Duda sobre reglas de iptables
El mar, 23-10-2007 a las 20:23 +0200, Manolo Díaz escribió:
> Saludos,
>
> Tengo una duda sobre los chequeos que hace iptables: si en una
> regla especifico que el protocolo ha de ser TCP, ¿hace alguna
> comprobación extra si también le indico que el paquete ha de coincidir
> con dicho protocolo? Es decir, ¿Es más selectivo '-p tcp -m tcp' que
> '-p tcp' únicamente, o es completamente redundante?
>
> Gracias.
Aupa,
En versiones anteriores no se, hoy en día, -m tcp es totalmente
redundante.
Es decir:
-p tcp, si el paquete hace matching (es de tipo tcp), se continua
evaluando la regla y se cargan las extensiones 'tcp' del man iptables
(--dport, etc).
-m tcp, únicamente, carga las extensiones 'tcp' del man iptables, para
poder utilizar sus argumentos.
Desconozco si especificando -m tcp, estás haciendo trabajar más al stack
(tal vez lo ignora, o tal vez lo "trata de cargar" en cada regla que lo
especifiques). Lo que si tengo claro, es que si no lo pones, todo
funciona igual.
Con -p haces matching de protocolo. Con -m tcp, únicamente te aseguras
de disponer de ciertos parámetros (posteriores) de matching
(innecesarios si utilizas -p) que mientras no los especifiques, no hacen
maching.
Llega un paquete icmp... con -p tcp, directamente no hace matching. Con
-m tcp, se sigue evaluando la regla, hasta llegar a un parámetro (p.ej.
si luego pone --dport 22, entonces dejará de hacer matching el paquete)
No se si he sido claro o te he liado más xDDDD
saludos.
Reply to: