El mar, 23-10-2007 a las 20:23 +0200, Manolo Díaz escribió: > Saludos, > > Tengo una duda sobre los chequeos que hace iptables: si en una > regla especifico que el protocolo ha de ser TCP, ¿hace alguna > comprobación extra si también le indico que el paquete ha de coincidir > con dicho protocolo? Es decir, ¿Es más selectivo '-p tcp -m tcp' que > '-p tcp' únicamente, o es completamente redundante? > > Gracias.
Aupa, En versiones anteriores no se, hoy en día, -m tcp es totalmente redundante. Es decir: -p tcp, si el paquete hace matching (es de tipo tcp), se continua evaluando la regla y se cargan las extensiones 'tcp' del man iptables (--dport, etc). -m tcp, únicamente, carga las extensiones 'tcp' del man iptables, para poder utilizar sus argumentos. Desconozco si especificando -m tcp, estás haciendo trabajar más al stack (tal vez lo ignora, o tal vez lo "trata de cargar" en cada regla que lo especifiques). Lo que si tengo claro, es que si no lo pones, todo funciona igual. Con -p haces matching de protocolo. Con -m tcp, únicamente te aseguras de disponer de ciertos parámetros (posteriores) de matching (innecesarios si utilizas -p) que mientras no los especifiques, no hacen maching. Llega un paquete icmp... con -p tcp, directamente no hace matching. Con -m tcp, se sigue evaluando la regla, hasta llegar a un parámetro (p.ej. si luego pone --dport 22, entonces dejará de hacer matching el paquete) No se si he sido claro o te he liado más xDDDD saludos. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
