On Tue, Jul 29, 2008 at 01:22:01PM +0700, Ivan Dubrov wrote: > Alexander Tyurin wrote: > > Приветствую! > Есть хост 192,168,1,20. Все последующие правила прописаны именно на этом > хосте. > > При правиле > iptables -A INPUT -p tcp -d 192.168.1.20 -j DROP > доступа к сетевым ресурсам нет. Логично. > > При > iptables -A OUTPUT -p tcp -s 192.168.1.20 -j DROP > нет доступа к ресурсм сети. Логично. > > При > iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.20 -j DROP > доступа нет. Вот тут уже интересно т.к. не понятно почему. > > При > iptables -t nat -A PREROUTING -p tcp -d 192.168.1.20 -j DROP > а вот это правило не понятно почему не действует. Никаких проблем с > коннектом у хоста не возникает. Кто-нить может объяснить такую разницу в > поведении 2х последних правил? > > Возможно, картинка поможет: http://wfrag.org/files/tables_traverse.jpg
Картинки такие, увы, новичков с толку сбивают, так как создают ложное представление, что _все_ пакеты идут через PREROUTING, например. -- Stanislav -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
