duda con iptables

[Miguel Oyarzo O.]

El 21-10-2010 13:05, Aldrin Martoq escribió:
> On Oct 21, 2010, at 10:08 AM, Miguel Oyarzo O. wrote:
>> Estimados,
>> despues de años me surgió esta duda:
>> Si con iptables tengo
>> -P FORWARD DROP
>> Esto funciona para paquetes que pretendan atravesar de una interfaz a otra.
>> pero qué pasa con los paquetes que entran por una interfaz y deben salir por la misma?
>
> No, FORWARD no consiste en "los que entran por una interfaz y salen por otra".
>
> Viejo pero aún válido (simplificado) el mono: http://bit.ly/9MPxAH
>
> Cuando un paquete entra al kernel, queda en una estructura llamada skbuff que tiene toda la información:
> - Si ese paquete es ruteado por el kernel (por eso el sys.net.ipv4.ip_forward=1), pasará por FORWARD
> - Si en cambio ese paquete es consumido por un proceso, pasará en cambio por INPUT y "desaparece" de la vista del kernel (skbuff)
> Esto es independiente de la interfaz por la que entra/sale.

Aldrin, lo que mencionas arriba lo tengo muy claro (olvida el trafico 
INPUT, no es el caso)

A raiz de eso mismo me sale la duda

Si la interfaz da "lo mismo", entonces por que razon al realizar este 
ensayo:

LAN1--(router)-->eth0----FW/Linux
LAN2--(router)-->eth0---|

.. FORWARD -i eth0 -s LAN1 -d LAN2 -j DROP  (no bloquea)

pero desde luego si funciona (bloqueando):
LAN1--(router)-->eth0--FW/Linux-eth1-(router)-->LAN2

En este caso el kernel rutea bien los paquetes entre LAN1 y LAN2, pero 
no logro que FORWARD DROP trabaje bien si los paquetes son forwarded 
entre ambas LANs usando la misma Interfaz como entrada y salida.

Que opinas?


=====================================
Miguel A. Oyarzo O.
Ingeniería en Redes y Telecomunicaciones
Austro Internet S.A.  &  INALAMBRICA S.A.
Teléfono: [+05661] 710030
Punta Arenas - Chile
Linux User: # 483188 - counter.li.org
=====================================