Hỏi về chain PREROUTING trong iptables

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận hệ điều hành *nix

Hỏi về chain PREROUTING trong iptables

[Question] Hỏi về chain PREROUTING trong iptables	09/01/2012 15:34:11 (+0700) \| #1 \| 252139

somenuchi
Member

Joined: 08/10/2011 09:19:02
Messages: 55
Offline

Lần đầu gửi câu hỏi trên diễn đàn có gì sai sót mong nhận được sự góp ý của mọi người !
Ở thời điểm ban đầu, iptables không có bất cứ dòng luật nào. Sau đó mình thêm vào hai dòng luật sau:
Trên chain PREROUTING
Code:

iptables -t nat -A PREROUTING -p tcp --tcp-flags ACK,PSH ACK,PSH --dport 80 -j LOG

Trên chain INPUT
Code:

iptables -A INPUT -p tcp --tcp-flags ACK,PSH ACK,PSH --dport 80 -j LOG

Sau đó truy cập vào webserver, rồi chạy các lệnh sau để kiểm tra
Code:

iptables -L -v
iptables -t nat -L -v

Kết quả cho thấy trên chain INPUT có thể log được cái gói tin tcp có cờ PSH ACK, còn trên chain PREROUTING không có ghi nhận gì. Mình phỏng đoán sau khi định tuyến cho một kết nối mới thì chain PREROUTING sẽ không còn theo dõi các gói tin đi vào trên kết nối này nữa. Tuy đã tìm kiếm và đọc qua các tài liệu nhưng chưa thấy có điểm nào có thể khẳng định. Rất mong nhận được ý kiến của anh/chị/em trên diễn đàn.

vô thường

[Question] Hỏi về chain PREROUTING trong iptables	11/01/2012 12:59:27 (+0700) \| #2 \| 252250

Cuc.Sat
Member

Joined: 29/08/2011 04:32:50
Messages: 52
Offline

Chain PREROUTING và POSTROUTING của NAT table dùng cho việc xử lý các packet trước và sau khi định tuyến (ROUTING). Nói chung là có thao tác routing trong đó.
Còn INPUT chain trong FILTER table là dùng cho việc xử lý incoming packet đến local server mà không liên quan gì với việc routing cả.
Khi anh test, anh đã connect vào webserver (iptables chạy trên đây luôn) nên kết quả là như thế.
Đây là ý kiến của em, anh nghĩ sao smilie

[Question] Hỏi về chain PREROUTING trong iptables	11/01/2012 22:17:13 (+0700) \| #3 \| 252281

DarkOS
Member

Joined: 17/04/2011 01:17:01
Messages: 26
Location: /dev/null
Offline

somenuchi wrote:

[code]iptables -t nat -A PREROUTING -p tcp --tcp-flags ACK,PSH ACK,PSH --dport 80 -j LOG

-j LOG invalid đối với -t nat

[Question] Hỏi về chain PREROUTING trong iptables	12/01/2012 10:05:26 (+0700) \| #4 \| 252318

somenuchi
Member

Joined: 08/10/2011 09:19:02
Messages: 55
Offline

DarkOS wrote:

-j LOG invalid đối với -t nat

@ DarkOS: Trước khi post mình cũng đã thử qua hai luật ở dưới là
Code:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j LOG 
iptables -t nat -A PREROUTING -p tcp --syn --dport 80 -j LOG

rồi kiểm tra lại với lệnh
Code:

iptables -t nat -L -v
tail -f /var/log/firewall

Mình đều thấy log được ghi lại nên mình khẳng định là -j LOG không hề invalid.

Cuc.Sat wrote:

Chain PREROUTING và POSTROUTING của NAT table dùng cho việc xử lý các packet trước và sau khi định tuyến (ROUTING). Nói chung là có thao tác routing trong đó.
Còn INPUT chain trong FILTER table là dùng cho việc xử lý incoming packet đến local server mà không liên quan gì với việc routing cả.
Khi anh test, anh đã connect vào webserver (iptables chạy trên đây luôn) nên kết quả là như thế.
Đây là ý kiến của em, anh nghĩ sao

@ Cuc.Sat: Mình nghĩ ý của bạn giống với ý mình đã nêu ở post trên. Tuy nhiên khi đọc qua các tài liệu thì không thấy chỗ nào nói đến điểm này để có thể khẳng định.

somenuchi wrote:

Mình phỏng đoán sau khi định tuyến cho một kết nối mới thì chain PREROUTING sẽ không còn theo dõi các gói tin đi vào trên kết nối này nữa.

vô thường

Go to:

Users currently in here
1 Anonymous