форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Изначальное сообщение		[ Отслеживать ]

"вопрос по применению extension-ов в iptables (conntrack etc)"	+/–
Сообщение от georglk (ok) on 19-Авг-10, 18:55
Если писать правила разрешающие доступ по цепочкам используя conntrack, то появляется (формально, по меньшей мере) возможность указать source и destination address в двух местах. это параметры --source, --destination и -m conntrack --ctorigsrc,--ctorigdst какой в этом "тайный" смысл и как методологически делать правильно? Стоит ли все правила для разрешения доступа, плюс правила DNAT/SNAT писать используя -m conntrack на сколько conntrack "кашерная" штука? Объясните, пожалуйста, смысл такого часто встречающегося выражения как -p tcp -m tcp (аналогично -p udp -m udp, -p icmp -m icmp) какие причины дополнительно к -p указывать такие extension-ы
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "вопрос по применению extension-ов в iptables (conntrack etc)"	+/–
Сообщение от Andrey Mitrofanov on 19-Авг-10, 19:41
>какой в этом "тайный" смысл и как методологически делать правильно? С точки зрения банальной ерундиции... -s - смотрит на ip в конкретном пакете,а --ctorigsrc - на адрес, откуда было открыто соединение, с которым "сопоставился" этот пакет. Тайный смысл, наверное, в том, что оно никому не надо, а "правильно" -- не заморачиваться~~~ Но !методологически! это всё, конечно же, неправильно.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "не, ну man, конечно, никто не читает, но он-таки рУлит :)))"	+/–
Сообщение от Andrey Mitrofanov on 19-Авг-10, 20:04
>Объясните, пожалуйста, смысл такого часто встречающегося выражения как -p tcp -m tcp > >(аналогично -p udp -m udp, -p icmp -m icmp) >какие причины дополнительно к -p указывать такие extension-ы Эти ключи относятся чуть к разным частям пакета. Та, что "-p tcp" смотрит, что протокол-таки ==tcp и _не_ обрабатывается модулем -m tcp. А за "-m tcp" обычно следуют параметры этого самого модуля -- осмысленные только для этого самого протокола (и соотв.пакетов). Выражение часто встречается, так как считается, наверное, логичным сначала сделать (быструю) встроенную проверку (-p tcp), прежде чем вызывать более специализированную из внешнего модуля (медленную?). -t filter -A in_mailpass_pop3_s1 -p tcp --sport 1024:65535 --dport 110 -m state --state NEW\,ESTABLISHED -j ACCEPT -t filter -A out_mailpass_pop3_s1 -p tcp --sport 110 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT В более общем случае - первыми идут "встроенные" опции, потом "вызов" внеш.модулей -- каждого со своими параметрами... Хотя... если приглядеться к man iptables, то-таки "-p tcp" _подразумевает загрузку "-m tcp" и всё выше сказанное оказывается... ээээ... немного :D неточным.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "не, ну man, конечно, никто не читает, но он-таки рУлит :)))"	+/–
	Сообщение от georglk (ok) on 20-Авг-10, 10:37
	> Хотя... если приглядеться к man iptables, то-таки > "-p tcp" _подразумевает загрузку "-m tcp" и всё выше сказанное оказывается... ээээ... > немного :D неточным. это меня  и смутило > А за "-m tcp" обычно следуют параметры этого самого модуля -- осмысленные только для этого самого протокола (и соотв.пакетов). > Выражение часто встречается, так как считается, наверное, логичным сначала сделать (быструю) встроенную проверку (-p tcp), прежде чем вызывать более специализированную из внешнего модуля (медленную?). если смотреть -m udp и -m icmp то у них собственных параметров не густо :-) то есть опять получается, что одно и тоже (в этом случаи порты) можно указать двумя способами
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема