|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Al Zaharov 2:5005/58.88 27 Oct 2001 03:04:43
To : Yx
Subject : Re: iptables (counters)
--------------------------------------------------------------------------------
>> этом его (фильтра) совершенно не касается наличие (или отсутствие) любого
>> ната, включая маскарад..
> касается тем что он занимает вполне опрделенное место в ip flow,
для того случая, который был в рассмотрении это совершенно не важно,
единственное, что я хотел сказать это то, что фильтром можно
фильтровать\резать без оглядки на нат (на любой нат).. т.е., если
снатится (маскарадится) подсетка, то в фильтре можно смело писать ее
адреса, не задумываясь о том, когда реально произойдет нат до или после
ната, о чем я и говорил.. т.е. правила в фильтр\форвард можно ставить
совершенно не задумываясь о том, есть ли еще какая-то обработка этого
трафика, поэтому можно сказать так, как я оставил квоту от своих же слов..
> если речь идет о транзите, то ip flow в этом случае след.:
> chain prerouting (table mangle)
> chain prerouting (table nat)
> chain forward (table filter)
> chain postrouting (table nat)
ну и? я это прекрасно знаю..
> с чем работать выбирается в зависимости от того как организованно прохождение
> транзита через эти цепочки (и далеко не всегда это table filter).
что вы имеете ввиду? конкретней, пожайста..
приведите, пожалуйста, пример ситуации, когда транзитный трафик *не*
проходит через forward\filter и его поэтому нельзя посчитать, не обращая
внимания на наличие(\отсутствие) нат\мангле.. естественно, это должен быть
действительно транзитный трафик, а не, например, редирект на ту же
машину, на которой стоит этот iptables..
>>> до? Я думал, что до ...
>> в общем случае перед натом ната (точнее, перед снат'ом), но, повторюсь,
>> это не имеет никакого значения..
> брр, в общем случае так можно запутать кого угодно.
можно.. лишнее слово вкралось и все испортило :)..
> для входного трафа (как и для трафа вовне) nat возможен
> и "до" и "после" цепочек из filter table
> (исп-ся nat или нет, и как называется, это третий вопрос).
> в общем случае "извне" ip flow выглядит примерно так:
-- все покоцал, к тому же, там ошибка --
> p.s. это только примерное ipflow и нек-е пункты могут показаться
> что дублируют друг друга, но это не так.))
в ipt_route.png (тот, что где-то рядом с netfilter-hacking-howto валяется)
значительно красивее и нагляднее :))
--
wbw, kaiser
--- tin/1.4.4-20000803 ("Vet for the Insane") (UNIX) (Linux/2.4.13 (i586))
* Origin: e-will (2:5005/58.88)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: iptables (counters) |
Al Zaharov |
27 Oct 2001 03:04:43 |
|
|
