duda con iptables

[Aldrin Martoq]

On Oct 21, 2010, at 10:08 AM, Miguel Oyarzo O. wrote:
> Estimados,
> despues de años me surgió esta duda:
> Si con iptables tengo
> -P FORWARD DROP
> Esto funciona para paquetes que pretendan atravesar de una interfaz a otra.
> pero qué pasa con los paquetes que entran por una interfaz y deben salir por la misma?

No, FORWARD no consiste en "los que entran por una interfaz y salen por otra". 

Viejo pero aún válido (simplificado) el mono: http://bit.ly/9MPxAH

Cuando un paquete entra al kernel, queda en una estructura llamada skbuff que tiene toda la información:
- Si ese paquete es ruteado por el kernel (por eso el sys.net.ipv4.ip_forward=1), pasará por FORWARD
- Si en cambio ese paquete es consumido por un proceso, pasará en cambio por INPUT y "desaparece" de la vista del kernel (skbuff)

Esto es independiente de la interfaz por la que entra/sale.


> Por ejemplo la misma maquina linux trabajando como PROXY ARP.
> La cadena FORWARD cadena no funcionaría en ese caso ... o me equivoco?

Depende de cómo está implementado el PROXY ARP (cosa que desconozco):
- Si es un proceso de usuario (un demonio), entrará por INPUT y no por FORWARD
- Si es algo a nivel del kernel no creo que sea "consumido" el skbuff y pasará por FORWARD en vez de INPUT

Hay algunas funcionalidades en el kernel que están implementadas como procesos, pero creo que ninguna funcionalidad de redes.


Aldrin Martoq
http://aldrin.martoq.cl/