duda con iptables
Aldrin Martoq
amartoq en dcc.uchile.cl
Jue Oct 21 13:05:42 CLST 2010
On Oct 21, 2010, at 10:08 AM, Miguel Oyarzo O. wrote:
> Estimados,
> despues de años me surgió esta duda:
> Si con iptables tengo
> -P FORWARD DROP
> Esto funciona para paquetes que pretendan atravesar de una interfaz a otra.
> pero qué pasa con los paquetes que entran por una interfaz y deben salir por la misma?
No, FORWARD no consiste en "los que entran por una interfaz y salen por otra".
Viejo pero aún válido (simplificado) el mono: http://bit.ly/9MPxAH
Cuando un paquete entra al kernel, queda en una estructura llamada skbuff que tiene toda la información:
- Si ese paquete es ruteado por el kernel (por eso el sys.net.ipv4.ip_forward=1), pasará por FORWARD
- Si en cambio ese paquete es consumido por un proceso, pasará en cambio por INPUT y "desaparece" de la vista del kernel (skbuff)
Esto es independiente de la interfaz por la que entra/sale.
> Por ejemplo la misma maquina linux trabajando como PROXY ARP.
> La cadena FORWARD cadena no funcionaría en ese caso ... o me equivoco?
Depende de cómo está implementado el PROXY ARP (cosa que desconozco):
- Si es un proceso de usuario (un demonio), entrará por INPUT y no por FORWARD
- Si es algo a nivel del kernel no creo que sea "consumido" el skbuff y pasará por FORWARD en vez de INPUT
Hay algunas funcionalidades en el kernel que están implementadas como procesos, pero creo que ninguna funcionalidad de redes.
Aldrin Martoq
http://aldrin.martoq.cl/
Más información sobre la lista de distribución Linux