1 votes

nixnotwin avatar

Les chaînes INPUT et FORWARD sont iptables

Demandé el 6 de Décembre, 2011
Quand la question a-t-elle été
1139 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

C'est ce que j'ai spécifié comme règle par défaut dans mon pare-feu iptables script :

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

J'ai de nombreuses interfaces et de nombreux réseaux et je fais du NAT pour savoir où le trafic doit être transféré. FORWARD ACCEPT comme règle par défaut. Ensuite, j'ai ceci :

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 2.4.5.6

Et à la fin, j'ai ceci :

iptables -A INPUT -i eth0 -j DROP

T DROP ne doit laisser passer que les paquets destinés à l'hôte de la passerelle. Quel que soit le trafic entrant via eth0 ne doit pas être affectée.

Ma question est la suivante : si j'ai un INPUT DROP pour une interface, qu'elle affecte ou non la règle de la FORWARD sur la même interface (ou la chaîne globale FORWARD ACCEPT chaîne) ?

Demandé el 6 de Décembre, 2011 par nixnotwin

Réponse

Trop de publicités?

3voto

TheLegend0713 avatar
TheLegend0713 Points 21

Il ne devrait pas y avoir de problème car la règle de la chaîne INPUT est appliquée lorsque "le paquet va être livré localement". La livraison locale est contrôlée par la table de routage "local-delivery" : ip route show table local "et La chaîne FORWARD est appliquée aux paquets qui ont été acheminés et donc les paquets qui ne sont pas destinés à une livraison locale traverseront cette chaîne.

Votre règle de chaîne INPUT ne doit donc pas affecter la règle de chaîne FORWARD.

Répondu el 6 de Décembre, 2011 par TheLegend0713 (21 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X