Witam.
Próbuje uruchomić ruter na Linuksie i mam mały problem z firewallem, a mianowicie z łańcuchami ,,INPUT'' I ,,FORWARD''. Czytając trochę po forach i różnych stronkach o iptables (jeśli się mylę proszę mnie poprawić) łańcuch ,,INPUT'' jest odpowiedzialny za pakiety przychodzące z zewnątrz dla naszego komputera, i tu moje pierwsze pytanie, czy tylko dla tego komputera, na którym działa ruter, czy też dla komputerów, którym rozdziela sieć? Czytając dalej łańcuch ,,FORWARD'' przekierowuje pakiety pochodzące z poza sieci i nie dla niej, więc czy na ruterze jego polityka powinna być na ,,ACCEPT'', a całe blokowanie powinno się odbywać na łańcuchu ,,INPUT''? Czy też na ,,FORWARD'' bo przeglądając przykładowe firewalle nigdzie nie widziałem żeby polityka ,,OUTPUT'' była na ,,DROP''?
I tu kolejne moje pytanie, czy dobre jest takie ustawianie?
£a
Każdy pakiet wchodzący do Twojego komputera przechodzi przez łańcuch INPUT.
Każdy pakiet, który Twój komputer wysyła przez sieć, przechodzi przez łańcuch OUTPUT. Każdy pakiet, który przechodzi przez twój komputer i jest przekazywany dalej do sieci (LAN), przechodzi przez łańcuch FORWARD.
Czyli teoretycznie każdy pakiet możesz "kształtować" aż dwa razy, najpierw na INPUT a potem na FORWARD.
Prosty test pokazuje jak to działa naprawdę:
Każdy pakiet, który Twój komputer wysyła przez sieć, przechodzi przez łańcuch OUTPUT. Każdy pakiet, który przechodzi przez twój komputer i jest przekazywany dalej do sieci (LAN), przechodzi przez łańcuch FORWARD.
Czyli teoretycznie każdy pakiet możesz "kształtować" aż dwa razy, najpierw na INPUT a potem na FORWARD.
Prosty test pokazuje jak to działa naprawdę:
Kod: Zaznacz cały
[15:36:26] root@orion:/var/www/shell/images# ping wp.pl
PING wp.pl (212.77.100.101) 56(84) bytes of data.
64 bytes from [url]www.wp.pl[/url] (212.77.100.101): icmp_seq=1 ttl=250 time=14.4 ms
64 bytes from [url]www.wp.pl[/url] (212.77.100.101): icmp_seq=2 ttl=250 time=25.7 ms
^C
--- wp.pl ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1006ms
rtt min/avg/max/mdev = 14.423/20.088/25.754/5.667 ms
[15:36:29] root@orion:/var/www/shell/images# iptables -A INPUT -s 212.77.100.101 -j DROP
[15:36:50] root@orion:/var/www/shell/images# ping wp.pl
PING wp.pl (212.77.100.101) 56(84) bytes of data.
^C
--- wp.pl ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4014ms
[15:36:56] root@orion:/var/www/shell/images# iptables -A FORWARD -s 212.77.100.101 -j ACCEPT
[15:37:17] root@orion:/var/www/shell/images# ping wp.pl
PING wp.pl (212.77.100.101) 56(84) bytes of data.
^C
--- wp.pl ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3014ms
[15:37:22] root@orion:/var/www/shell/images# iptables -D INPUT -s 212.77.100.101 -j DROP
[15:37:30] root@orion:/var/www/shell/images# ping wp.pl
PING wp.pl (212.77.100.101) 56(84) bytes of data.
64 bytes from [url]www.wp.pl[/url] (212.77.100.101): icmp_seq=1 ttl=250 time=14.3 ms
64 bytes from [url]www.wp.pl[/url] (212.77.100.101): icmp_seq=2 ttl=250 time=17.4 ms
^C
--- wp.pl ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1006ms
rtt min/avg/max/mdev = 14.360/15.898/17.437/1.543 ms
[15:37:33] root@orion:/var/www/shell/images# iptables -D FORWARD -s 212.77.100.101 -j ACCEPT
[15:37:38] root@orion:/var/www/shell/images# ping wp.pl
PING wp.pl (212.77.100.101) 56(84) bytes of data.
64 bytes from [url]www.wp.pl[/url] (212.77.100.101): icmp_seq=1 ttl=250 time=16.9 ms
64 bytes from [url]www.wp.pl[/url] (212.77.100.101): icmp_seq=2 ttl=250 time=15.3 ms
^C
--- wp.pl ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 15.377/16.159/16.941/0.782 ms
[15:37:40] root@orion:/var/www/shell/images#