Skocz do zawartości
Zaloguj się, aby obserwować  
Obserwujący 0
mariuszad

IPTABLES - droga pakietu

Przez mariuszad, w Administracja Serwerów

Polecane posty

mariuszad    0

mariuszad
Napisano

Witam

 

Chcę się upewnić co do poprawności mojego toku rozumowania w kolejności przepływu pakietów przez iptables. Dlatego zwracam się z prośbą do Was o poprawienie mnie jeżeli gdzieś coś palnę. Zależy mi na trzech przypadkach. Załóżmy, że serwer DNS pełni również funkcję routera.

 

Przypadek1. Zapytanie, które przychodzi z internetu do serwera DNS pokonuje po kolei drogę:

Zapytanie: PREROUTING (tablice raw, mangle,nat) ->decyzja o routingu->INPUT(tablice mangle, input)->proces lokalny (np DNS)

Odpowiedż następuje na podstawie danych zapisanych w nagłówku pakietu czyli nie ma ponownej potrzeby "decyzji o routingu" i pakiet kierowany jest do łańcucha OUTPUT (tablice raw, mangle, nat,filter) a następnie do łańcucha POSTROUTING (tablice mangle,nat) i następuje wysłanie odpowiedzi.

 

Przypadek 2 zapytanie pochodzi z komputera w sieci LAN do internetu.

Zapytanie . Wysyłane jest przez łańcuch FORWARD (mangle,filter)->decyzja o routingu-> OUTPUT (tablice raw, mangle, nat,filter) -> POSTROUTING (tablice mangle,nat) i następuje wysłanie zapytania.

Odpowiedź PREROUTING (tablice raw, mangle,nat)->decyzja o routingu->FORWARD (mangle,filter)->komp1

 

Przypadek 3 zapytanie i odpowiedź wewnątrz sieci LAN

Zapytanie pochodzi z komp1 w sieci LAN. Wysyłane jest przez łańcuch FORWARD (mangle,filter)->decyzja o routingu->OUTPUT (tablice raw, mangle, nat,filter) - komp2.

Odpowiedź: komp2->FORWARD (mangle,filter)->OUTPUT(tablice raw, mangle, nat,filter)-komp1

 

Trzeci przypadek zakłada, że oba komputery znajdują się w tej samej sieci. Gdyby były w różnych podsieciach to zakładam że doszłaby jeszcze "decyzja o routingu"? Czy się mylę ?

 

Pozdrawiam

mariusz

 

 

 

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

volt123    3

volt123
Napisano

Trzeci przypadek zakłada, że oba komputery znajdują się w tej samej sieci. Gdyby były w różnych podsieciach to zakładam że doszłaby jeszcze "decyzja o routingu"? Czy się mylę ?

Masz rację. Żeby dwie oddzielne podsieci komunikowały się ze sobą, musisz ustawić na routerze odpowiednie zasady routingu (ip route). Potem ustawiasz odpowiednie zasady w iptables z adresami i maskami aby zezwalały na ten ruch.

 

Jak router zrobiłeś sobie z komputera z linuchem, to możesz podłączyć na kilka sposobów dodatkowe sieci:

1. 2x NIC

2. dopisując dodatkowy adres do interfejsu,

3. stawiając VLAN-y https://en.wikipedia.org/wiki/IEEE_802.1Q (wymagany trunking na switchu)

 

Strukturę iptables masz tu - http://www.iptables.info/en/structure-of-iptables.html

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Zaloguj się, aby skomentować

Będziesz mógł dodać komentarz po zalogowaniu się



Zaloguj się
Zaloguj się, aby obserwować  
Obserwujący 0
Przejdź do listy tematów Administracja Serwerów
×