On Tue, May 28, 2002 at 10:39:21AM +0200, Stefano Simonucci wrote: > Non e' esplicitamente detto se i target ACCEPT e DROP interrompono la > catena o uno passa anche alla regola successiva.
La interrompono, nel senso che il pacchetto prosegue verso le altre catene oppure viene scartato. > Se la interrompono non mi spiego come mai ipmasq (di default) mette come > catena di INPUT > Chain INPUT (policy DROP) > target prot opt source destination > ACCEPT all -- anywhere anywhere [cut] > In questo caso infatti mi sembra che tutti i pacchetti soddisfino alla > prima regola (o sbaglio)? Dipende dall'interfaccia in ingresso a cui quella regola si riferisce, prova con -L -n -v, al 99% e' il localhost (lo). > Inoltre non ho capito quale catena viene esaminata per prima (INPUT, > FORWARD o OUTPUT di filter oppure PREROUTING ecc.. di nat ...) o se ne > viene esaminata una sola (ma quale?) Come primissima cosa, il pacchetto viene sottoposto alle regole di mangling, che consentono di modificarlo a piacimento o quasi. Dopodiche', il pacchetto viene sottoposto alle decisioni di routing: per prima cosa, attraversa la PREROUTING, dove la sua destinazione puo' essere cambiata col DNAT; questa e' una delle caratteristiche piu' belle di iptables, IMHO, puoi fare tutti i giochi che vuoi col NAT senza alterare il funzionamento del packet filter. Poi, si guarda dove e' diretto il pacchetto: se e' indirizzato alla tua box, viene passato alla catena INPUT, che filtra l'accesso ai processi locali, ad es. un sshd. Altrimenti, prosegue verso la catena FORWARD, che decidera' se smistarlo verso l'interfaccia di uscita o no. La catena OUTPUT serve, invece, per i pacchetti generati dai processi che girano sulla stessa box. Da ultimo, proprio mentre il pacchetto sta per uscire dall'interfaccia di destinazione, attraversa la catena POSTROUTING, che puo' ancora filtrarlo oppure lasciarlo passare, magari manipolandolo, ad es. effettuando il source NAT o il masquerading. > Potete consigliarmi qualche manuale? Gli ottimi HOWTO ufficiali, dove sono presenti anche dei chiari diagrammi dei flussi sopracitati (www.netfilter.org). Trovi del buon materiale anche su www.linuxguruz.org. -- BlueRaven Se non e' tutto chiaro, regolate i parametri di brightness e contrast della vostra mente ( Simon ). -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
