В Вто, 29/07/2008 в 01:13 +0400, Alexander Tyurin пишет: > Приветствую! > Есть хост 192,168,1,20. Все последующие правила прописаны именно на > этом хосте.
> При > iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.20 -j DROP > > доступа нет. Вот тут уже интересно т.к. не понятно почему. > Первый пакет начинающий соединение (SYN) дропается, соединение не устанавливается, логично. > При > iptables -t nat -A PREROUTING -p tcp -d 192.168.1.20 -j DROP > а вот это правило не понятно почему не действует. Никаких проблем с > коннектом у хоста не возникает. Кто-нить может объяснить такую разницу > в поведении 2х последних правил? Первый пакет начинающий соединение (SYN) НЕ дропается, соединение устанавливается, остальные пакеты этого соединения в nat не попадут, логично. Однако, коннекты на эту машину не пройдут. Почитайте как работает conntrack и таблица nat в iptables. -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
