<![CDATA[Latest posts for the topic "Hỏi về chain PREROUTING trong iptables"]]> /hvaonline/posts/list/24.html JForum - http://www.jforum.net Hỏi về chain PREROUTING trong iptables Code:
iptables -t nat -A PREROUTING -p tcp --tcp-flags ACK,PSH ACK,PSH --dport 80 -j LOG
Trên chain INPUT Code:
iptables -A INPUT -p tcp --tcp-flags ACK,PSH ACK,PSH --dport 80 -j LOG
Sau đó truy cập vào webserver, rồi chạy các lệnh sau để kiểm tra Code:
iptables -L -v
iptables -t nat -L -v
Kết quả cho thấy trên chain INPUT có thể log được cái gói tin tcp có cờ PSH ACK, còn trên chain PREROUTING không có ghi nhận gì. Mình phỏng đoán sau khi định tuyến cho một kết nối mới thì chain PREROUTING sẽ không còn theo dõi các gói tin đi vào trên kết nối này nữa. Tuy đã tìm kiếm và đọc qua các tài liệu nhưng chưa thấy có điểm nào có thể khẳng định. Rất mong nhận được ý kiến của anh/chị/em trên diễn đàn.]]>
/hvaonline/posts/list/40949.html#252139 /hvaonline/posts/list/40949.html#252139 GMT
Hỏi về chain PREROUTING trong iptables local server mà không liên quan gì với việc routing cả. Khi anh test, anh đã connect vào webserver (iptables chạy trên đây luôn) nên kết quả là như thế. Đây là ý kiến của em, anh nghĩ sao :) ]]> /hvaonline/posts/list/40949.html#252250 /hvaonline/posts/list/40949.html#252250 GMT Hỏi về chain PREROUTING trong iptables

somenuchi wrote:
[code]iptables -t nat -A PREROUTING -p tcp --tcp-flags ACK,PSH ACK,PSH --dport 80 -j LOG  
-j LOG invalid đối với -t nat]]>
/hvaonline/posts/list/40949.html#252281 /hvaonline/posts/list/40949.html#252281 GMT
Hỏi về chain PREROUTING trong iptables

DarkOS wrote:
-j LOG invalid đối với -t nat 
@ DarkOS: Trước khi post mình cũng đã thử qua hai luật ở dưới là Code:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j LOG 
iptables -t nat -A PREROUTING -p tcp --syn --dport 80 -j LOG
rồi kiểm tra lại với lệnh Code:
iptables -t nat -L -v
tail -f /var/log/firewall
Mình đều thấy log được ghi lại nên mình khẳng định là -j LOG không hề invalid.

Cuc.Sat wrote:
Chain PREROUTING và POSTROUTING của NAT table dùng cho việc xử lý các packet trước và sau khi định tuyến (ROUTING). Nói chung là có thao tác routing trong đó. Còn INPUT chain trong FILTER table là dùng cho việc xử lý incoming packet đến local server mà không liên quan gì với việc routing cả. Khi anh test, anh đã connect vào webserver (iptables chạy trên đây luôn) nên kết quả là như thế. Đây là ý kiến của em, anh nghĩ sao :) 
@ Cuc.Sat: Mình nghĩ ý của bạn giống với ý mình đã nêu ở post trên. Tuy nhiên khi đọc qua các tài liệu thì không thấy chỗ nào nói đến điểm này để có thể khẳng định.

somenuchi wrote:
Mình phỏng đoán sau khi định tuyến cho một kết nối mới thì chain PREROUTING sẽ không còn theo dõi các gói tin đi vào trên kết nối này nữa. 
]]>
/hvaonline/posts/list/40949.html#252318 /hvaonline/posts/list/40949.html#252318 GMT