LINUX.ORG.RU
ФорумAdmin

Разрешить проходящий трафик одним правилом?

 , , , ,


1

2

Доброго времени суток. Дропаете ли вы все пакеты в конце цепочки форвард? Если да, то как относитесь к подобным правилам?

-A FORWARD -i eth1 -o eth2 -j ACCEPT
-A FORWARD -i eth2 -o eth1 -j ACCEPT
Если способ написать то же самое в одну строчку?


Дропаете ли вы все пакеты в конце цепочки форвард?

Да. На всякий случай уточню что вы имеете ввиду под «в конце цепочки» полиси DROP или последнее правило DROP ?

Если способ написать то же самое в одну строчку?

Нет.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

полиси DROP или последнее правило DROP ?

А есть разница?

Нет

То есть нормально так писать или это как-то обходится?

Rot1
() автор топика
Ответ на: комментарий от Rot1

А есть разница?

С точки зрения результата никакой. С практической точки зрения может быть разница в определенных условиях. Например у вас овердофига правил которые полчаса загружаются. Или просто забыли/накосячили в последнем правиле и не обратили внимания что его нет по факту.
Сам я предпочитаю отдельным правилом в конце.

То есть нормально так писать или это как-то обходится?

Для достижения желаемого результата указанного в правилах нормально.

anc ★★★★★
()
Ответ на: комментарий от anc

Нет.

не факт. если у автора роутер гоняет между 192.168.0.0/24 и 192.168.1.0/24 то можно записать одним правилом -s 192.168.0.0/23 -d 192.168.0.0/23 ;)

Rost ★★★★★
()
Ответ на: комментарий от Rost

еще можно переименовать нужные интерфейсы в например leth0 leth1 и записать -i leth* -o leth* по идее тоже будеи работать. но я бы так делать не стал , ибо костыли :)

Rost ★★★★★
()
Ответ на: комментарий от Rost

Таки у вас ошибка не * а +
ЗЫ А ещё можно пропатчить iptables :)

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.