Архив форумов ЦИТФорума

[BusTeR]

Действие: Летит пакет из локалки.....видит, впереди iptables/ipchains.
Вопрос: этот пакет по любому пролетит input, output, или, если пакет предназначен не этой тачке, то он попадёт в forward?
Ситуация такая, что есть локалькая сеть, есть роутер, который просто форвардит пакеты другому роутеру из той-же сети, а он уже маскарадит и посылает дальше. Учёт ведётся на первом роутере. Как по его фильтру пролетит пакет?

[Dmitry.Karpov http://prof]

Пакет прилетает на входной интерфейс и проходит список правил до первого срабатывания (правда, некоторые действия типа count не прекращают просмотра). Затем пакет проверяется - мне или не мне. Если мне - передаётся программе. Если не мне - готовится на выход через выходящий интерфейс, и там второй раз проходит по списку правил (и потому криво построенная система учёта может учесть пакет дважды).

Кстати, можешь с помощью специально расставленных правил count проверить экспериментально.

[DmitriyS]

В ipchains пакет попадёт во все 3 цепочки - инпут - ворвард - аутпут.
В iptables в цепочку инпут и аутпут попадают только пакеты сгенерированные самим хостом, т.е. пакет через таблицу фильтр пройдёт только через цепочку форвард(через таблицу nat он тоже ес-но пройдёт по всем цепочкам), подсчёт надо весли на форварде таблицы фильтр.

[BusTeR]

Я разобрался, что пакеты, которые рулят в инет идут только через форвард, а пакеты, предназначеные ftp, который стоит на этом же компе как пойдут? через input и output?

[DmitriyS]

Да. В форвард они не попадут.

[BusTeR]

-