iptables

Aldrin Gonzalo Martoq Ahumada amartoq en dcc.uchile.cl
Mie Mayo 2 18:25:35 CLT 2007


On 4/27/07, Alvaro Herrera <alvherre en alvh.no-ip.org> wrote:
>
> Aldrin Gonzalo Martoq Ahumada escribió:
> > Por ejemplo, no veo (se me ocurre o he visto) un caso "real" que
> requiera
> > ponerlo en /etc/network/* al levantarse alguna interfaz...
> FWIW yo tengo esto en mi /etc/network/interfaces:
>
> #iface ppp0 inet ppp
> #       provider dsl-provider
> #       pre-up iptables -t nat -A POSTROUTING -o $IFACE -j MASQUERADE
> #       post-down iptables -t nat -F
>
> Como puedes ver está comentado :-) porque ahora la conexion ADSL la
> realiza el AP, pero antes levantaba iptables de esa manera cuando subia
> y bajaba la interfaz.
>
> La verdad es que no veo de que otra manera podria hacerlo??  Dado que la
> interfaz ppp0 desaparece cuando la conexion muere, no se borraria
> tambien la tabla?



Puedes tenerlo afuera perfectamente. De hecho, esta linea es valida:
iptables -t nat -A POSTROUTING -o foobar -j MASQUERADE

Las reglas llevan internamente el nombre de la interfaz, no algun puntero a
la interfaz o algo por el estilo... De hecho, puedes usar wildcards.


El problema que veo es que iptables mezcla demasiadas cosas
"conceptualmente". El caso de NAT, filtrar o marcar paquetes tienen que ver
con ruteo, firewall y casos especiales respectivamente. Aun asi, *nunca* he
visto un caso que necesites un set de reglas distinto del una vez iniciada
la maquina, por eso la pregunta.


-- 
Aldrin Martoq


Más información sobre la lista de distribución Linux