>>>>> On Thu, 26 Sep 2002 16:39:56 +0400 >>>>> "AN" == Andrey Nekrasov <[EMAIL PROTECTED]> wrote: AN> AN> Что происходит с пакетами, которые приходят на мой роутер из инета, AN> причем на те адреса, для которых у меня нет реальной машины ( то есть AN> я для них DNAT не делаю)?
Ожидаемая картина такова: IP стек должен их discard'нуть и послать на source ip address ICMP-message "no route to (host|nework)". AN> Как я понимаю они не должны попасть в цепочку FORWARD и фильтровать AN> я их не должен? В действителости получается так: Пакеты попадают как раз в FORWARD (ну не в INPUT же :)), где для них не находится правила, и действует policy FORWARD; по умолчанию это ACCEPT, можно поменять на DROP, ну а лучше REJECT --reject-with icmp-host-unreachable Вот. Все, впрочем, чисто теоретически, я этим не занимсался :) -- Alexander Kotelnikov Saint-Petersburg, Russia
