Порядок прохождения пользовательских цепочек itpables

0

2

Доброе утро всем. создал цепочку iptables -A MULTIPROV -t mangle Перенаправления в нее будут как из цепочки PREROUTING, так и из OUTPUT (-t mangle). Вопрос: Будет ли работать все правильно в этом случае? В каком месте диаграммы прохождения пакетов будет находиться моя созданная цепочка?

$IPT -A PREROUTING -t mangle -m set --match-set BOSS src -j MULTIPROV
	$IPT -A MULTIPROV -t mangle -j CONNMARK --set-mark $KTTK/$PROV
	$IPT -A MULTIPROV -t mangle -m statistic --mode random --probability 0.34 -j RETURN
	$IPT -A MULTIPROV -t mangle -j CONNMARK --set-mark $KTTK/$PROV
	$IPT -A MULTIPROV -t mangle -m statistic --mode random --probability 0.5 -j RETURN
	$IPT -A MULTIPROV -t mangle -j CONNMARK --set-mark $KTTK/$PROV	

$IPT -A OUTPUT -t mangle -m set --match-set BOSS src -j MULTIPROV

Ссылка

←	Восстановление удаленных файлов

Аналог route-to от pf для iptables

→

Хотел дать ссылку на картинку из статьи на википедии, охуел, кто это похерил так прекрасные труды.

anton_jugatsu ★★★★
(18.08.11 10:07:50 MSK)

http://www.linuxhomenetworking.com/wiki/images/f/f0/Iptables.gif

anton_jugatsu ★★★★
(18.08.11 10:08:42 MSK)

Ответ на: комментарий от anton_jugatsu 18.08.11 10:07:50 MSK

Не, эту статью, и эту картинку я прекрасно знаю.
Та диаграмма (http://upload.wikimedia.org/wikipedia/ru/a/ad/Netfilter-diagram-rus.png) - она не отражает того, куда будет добавлена пользовательская цепочка, поскольку она добавляется в таблицу, без указания места на «карте».
А по поводу википедии - вики все-таки офигительная вещь.
http://ru.wikipedia.org/w/index.php?title=Iptables&oldid=36757363
Здесь находится последняя нормальная копия статьи, а злостный модератор пригрозил пальчиком nnz, что больно большая статья для энциклопедии и отправил ее ему в черновики, это видно из обсуждения.
Посему надо что-то придумать, т.к. это лучшая дока по Iptables во всем рунете.

PATRI0T ★
(18.08.11 10:19:24 MSK) автор топика

Ссылка

Ответ на: комментарий от anton_jugatsu 18.08.11 10:08:42 MSK

Спасибо, хорошая диаграмма, еще не видел такой. Но она не отвечает на мой вопрос

PATRI0T ★
(18.08.11 10:21:49 MSK) автор топика

Ссылка

Не совсем понял вопрос, но сначала PREROUTING, потом OUTPUT.

anton_jugatsu ★★★★
(18.08.11 11:12:10 MSK)

Ответ на: комментарий от anton_jugatsu 18.08.11 11:12:10 MSK

Я создаю собственную цепочку MULTIPROV в таблице mangle.
И добавляю в эту цепочку правила как из цепочки PREROUTING, так и из OUTPUT.
Но это же разные цепочки совсем, и они не могут пересекаться, а пакеты из них сливаются в одну.. Вопрос: как так?
Спрашиваю ради спортивного интереса. Если никто не знает, но наверное ответ «потому что» меня устроит :)

PATRI0T ★
(18.08.11 11:48:56 MSK) автор топика

Ответ на: комментарий от PATRI0T 18.08.11 11:48:56 MSK

Вывод iptables-save дай.

anton_jugatsu ★★★★
(18.08.11 13:31:00 MSK)

Ссылка

Ответ на: комментарий от PATRI0T 18.08.11 11:48:56 MSK

У тебя пакеты цепочку будут проходить два раза. Сначала в PREROUTING, потом в OUTPUT. Это вроде бы очевидно.

blind_oracle ★★★★★
(18.08.11 15:30:32 MSK)

Ссылка

Ответ на: комментарий от PATRI0T 18.08.11 11:48:56 MSK

>Но это же разные цепочки совсем, и они не могут пересекаться

пакеты сначала попадут в PREROTING, там(если есть правило с -j MULTIPROV) в твою цепочку, потом в OUTPUT и снова(если есть правило с -j MULTIPROV) в твою цепочку. Что не ясно?

Pinkbyte ★★★★★
(18.08.11 18:39:26 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Восстановление удаленных файлов

Admin

Аналог route-to от pf для iptables

→

Похожие темы