Skocz do zawartości
mariuszad

IPTABLES - droga pakietu

Polecane posty

Witam

 

Chcę się upewnić co do poprawności mojego toku rozumowania w kolejności przepływu pakietów przez iptables. Dlatego zwracam się z prośbą do Was o poprawienie mnie jeżeli gdzieś coś palnę. Zależy mi na trzech przypadkach. Załóżmy, że serwer DNS pełni również funkcję routera.

 

Przypadek1. Zapytanie, które przychodzi z internetu do serwera DNS pokonuje po kolei drogę:

Zapytanie: PREROUTING (tablice raw, mangle,nat) ->decyzja o routingu->INPUT(tablice mangle, input)->proces lokalny (np DNS)

Odpowiedż następuje na podstawie danych zapisanych w nagłówku pakietu czyli nie ma ponownej potrzeby "decyzji o routingu" i pakiet kierowany jest do łańcucha OUTPUT (tablice raw, mangle, nat,filter) a następnie do łańcucha POSTROUTING (tablice mangle,nat) i następuje wysłanie odpowiedzi.

 

Przypadek 2 zapytanie pochodzi z komputera w sieci LAN do internetu.

Zapytanie . Wysyłane jest przez łańcuch FORWARD (mangle,filter)->decyzja o routingu-> OUTPUT (tablice raw, mangle, nat,filter) -> POSTROUTING (tablice mangle,nat) i następuje wysłanie zapytania.

Odpowiedź PREROUTING (tablice raw, mangle,nat)->decyzja o routingu->FORWARD (mangle,filter)->komp1

 

Przypadek 3 zapytanie i odpowiedź wewnątrz sieci LAN

Zapytanie pochodzi z komp1 w sieci LAN. Wysyłane jest przez łańcuch FORWARD (mangle,filter)->decyzja o routingu->OUTPUT (tablice raw, mangle, nat,filter) - komp2.

Odpowiedź: komp2->FORWARD (mangle,filter)->OUTPUT(tablice raw, mangle, nat,filter)-komp1

 

Trzeci przypadek zakłada, że oba komputery znajdują się w tej samej sieci. Gdyby były w różnych podsieciach to zakładam że doszłaby jeszcze "decyzja o routingu"? Czy się mylę ?

 

Pozdrawiam

mariusz

 

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Trzeci przypadek zakłada, że oba komputery znajdują się w tej samej sieci. Gdyby były w różnych podsieciach to zakładam że doszłaby jeszcze "decyzja o routingu"? Czy się mylę ?

Masz rację. Żeby dwie oddzielne podsieci komunikowały się ze sobą, musisz ustawić na routerze odpowiednie zasady routingu (ip route). Potem ustawiasz odpowiednie zasady w iptables z adresami i maskami aby zezwalały na ten ruch.

 

Jak router zrobiłeś sobie z komputera z linuchem, to możesz podłączyć na kilka sposobów dodatkowe sieci:

1. 2x NIC

2. dopisując dodatkowy adres do interfejsu,

3. stawiając VLAN-y https://en.wikipedia.org/wiki/IEEE_802.1Q (wymagany trunking na switchu)

 

Strukturę iptables masz tu - http://www.iptables.info/en/structure-of-iptables.html

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×