LINUX.ORG.RU
ФорумAdmin

iptables и -j return


0

0

Есть ли смысл делать RETURN(последняя строка)
$IPTABLES -N web_in
$IPTABLES -A web_in -j allowed
#allowed
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

$IPTABLES -A tcp_packets -p TCP -i $INET_IFACE -m multiport --dports 80,443 -j web_in
$IPTABLES -A tcp_packets -p TCP -i $INET_IFACE -m multiport --dports 80,443 -j RETURN

Если в tcp_packets кроме этого есть только правила на проверку портов и последующий -jump в allowed. В web_in считается что-то вроде входящего трафика.

anonymous
Приём/передача через разные IP каналы
proftpd 1.3.1 + patch

Нет. Из allowed, вызванного из web_in не вернутся пакеты со свойствами "-p TCP -i $INET_IFACE -m multiport --dports 80,443" они будут либо ACCEPT, либо DROP.

А в целом вся конструкция не очень понятна. Чего хотеось достичь данными правилами?

mky ★★★★★
()
Ответ на: комментарий от mky

Цель данного куска правил чтобы считать трафик проходящий через порты 80,443 ну и заодно разрешить его (через цепочку allowed+проверка на SYN и т.д.). Вопрос в следующем, не будут ли теряться пакеты без -j RETURN? Я так понял что RETURN нужет лишь чтобы вернуть пакет в вызывающую цепочку и продолжить его прохождение по ней, т.е. в данном случае неуместен?

anonymous
()
Ответ на: комментарий от anonymous

>Вопрос в следующем, не будут ли теряться пакеты без -j RETURN?

Выполните iptables -L -n -v и наблюдайте нулевые счетчики этого правила.

-j RETURN не нужен последним правилом в цепочке, т.к. по завершению цепочки пакет и так вернется в вызывающую цепочку. Разве, что таким образом можно считать объем тарфика, вернувшийся из цепочки.

mky ★★★★★
()
Ответ на: комментарий от mky

> Разве, что таким образом можно считать объем тарфика, вернувшийся из цепочки.

Объясните, как считать объём трафика через iptables.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Приём/передача через разные IP каналы
Admin
proftpd 1.3.1 + patch