Archiv verlassen und diese Seite im Standarddesign anzeigen : Reihenfolge von iptables chains
Hi,
mich würde mal interessieren, ob das Post-und Prerouting
vor input-output und DROP-ACCEPT kommt?
Wenn ich eine PREROUTING Regel setzte, aber dann keinen ACCEPT für
die FORWARD Regel, würde dann das Paket den Rechner passieren?
Habe nähmlich festgestellt, dass die FORWARD über den INPUT OUTPUT
sitzt, denn wenn ein Paket nicht für den Rechner bestimmt ist wo
der Paketfilter läuft, dann gilt die FORWARD Regel, auch wenn ich
für ein und dasselbe Paket die INPUT Regel mit DROP definierte.
Timbo
moin moin
Wenn ich eine PREROUTING Regel setzte, aber dann keinen ACCEPT für die FORWARD Regel, würde dann das Paket den Rechner passieren?
nein. in der prerouting chain wird nur entschieden, wohin das paket geschickt wird und dann entsprechend an die forward oder input chain übergeben.
die entscheidung ob ein paket passieren darf, fällt dann erst in diesen beiden chains.
http://www.tecchannel.de/betriebssysteme/751/images/0007635_PIC.gif
Gruß HL
Hi HL,
ok habs dank Deiner Info gecheckt.
Schaun ma mal obs wirklich stimmt das mit dem "checken"
Ein Beispiel:
Habe eine prerouting regel für port 9050 auf einen internen Rechner geroutet.
Der Paketfilter ist so konfiguriert(input-regel) das er alle Pakete für diesen
Port blockt.
Denn der rechner arbeitet als router an einer off. IP adresse(zum I-Net hin).
Das Paket würde demnach nicht geblockt, da es ja von prerouting
an die forward chain geschickt wird?
Ist das richtig so?
Timbo
moin moin
Denn der rechner arbeitet als router an einer off. IP adresse(zum I-Net hin). Das Paket würde demnach nicht geblockt, da es ja von prerouting an die forward chain geschickt wird?
Ist das richtig so?
jupp, da das paket die input chain nie erreicht.
Gruß HL
Abend,
ja das ist nähmlich neu für mich, da ich vorher
immer noch mit Ipchains gearbeitet habe, und
da ist es ja anders.
Dort hätte das Paket trotzdem die INPUT Chain passiert.
Noch ne "check-Frage".
Wenn ein client eine Webseite im I-Net aufruft, dann merckt sich
der router von welchem Rechner die Anfrage kam und maskiert das Paket bevor
er es dann an den Webserver schickt.
Nun antwortet der Webserver an die maskierte IP des routers, und der
schickt es dann an den Client wieder weiter.
In diesem Fall kann ja von PREROUTING(portforwarding) nicht die rede sein,
aber das Paket läuft ebenfalls über die Forward Chain, oder?
Timbo
hi
manchmal ist es halt einfacher, wenn man nicht *vorbelastet* ist ;). mit ipchains hab ich nie zu tun gehabt, aber unter mac os x hab ich auch so meine schwierigkeiten mit ipfw, bin halt vorbelastet mit iptables :D.
Wenn ein client eine Webseite im I-Net aufruft, dann merckt sich der router von welchem Rechner die Anfrage kam und maskiert das Paket bevor er es dann an den Webserver schickt.
ja genau, das ganze wird in einer table gespeichert.
In diesem Fall kann ja von PREROUTING(portforwarding) nicht die rede sein, aber das Paket läuft ebenfalls über die Forward Chain, oder?
jepp. das paket läuft wieder durch die forward chain. das ganze nennt sich connection tracking. stichwort ESTABLISHED, RELATED.
Gruß HL
Ois klarr.
Also quasi doch "gecheckt".
Schönen Abend noch, und danke nochmal.
Timbo
gern geschehen ;)
Gruß HL
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.