[mdk-re] IPCHAINS (by Re:вопрос омаршрутизацмаршрутизаци )

[Maxim Mitrofanov]

19 Февраль 2002 14:04, Вы написали:
> Hi!
> 
> > А почему в цепочку forward а не input
> > forward ведь он для маскарада а у вас, как вы говорили реальные 
адреса
> >---
> >Maixm mdk на anker.ru
> 
> 
> Для меня вопрос с forward стал загадкой.
> Предположим есть два сетевых интерфейса. К eth0 подключен инет, к 
eth1-
> локальная сеть.
> На eth0 из инета приходит пакет предназначенный для машины 
находящейся в
> локальной сети. Я понимаю так, что он поступает в цепочку INPUT, 
проверяется
> правилами и если все OK, то отправляется в цепочку forward. Или он 
сразу
> должен попадать в цепочку forward, где проверяется на соответствие 
правилам
> и отправляется на eth1?

Да нет после _принятия ядром решения_ о форвардинге пакет попадает в 
цепь forward в каторой обычно для приватной сети стоит -j MASQ, но это 
происходит только в том слуяае если пакет пересылается на другую машину 
(посмотрите Routing decision из ipchains HOWTO). Далее пакет попадает в 
цепочку output.

Ну вообщем дело вкуса где отсеивать пакеты в инпут & аутпут или 
форвард. Для нашего случая маскарадить ничего не надо поэтому, чтобы 
лишний раз не путаться IMHO цепочку форвард не задействовать

кстати цель MASQ для других цепей использовать запрещенно!



> Действительно ли forward используется только для маскарадинга? Если у 
меня в
> одной из сетей используются реальные адреса, и расположен 
DNS-сервер(что
> исключает использование маскарадинга), а со слов Максима forward
> используется для маскарадинга, то каким образом без forward пакет 
пришедший
> на eth0 попадет на eth1?
> Вот.


-- 
  rgrds
  Maixm						mdk на anker.ru