Обсуждение:Netfilter

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

таблица security ядра linux[править код]

Не так давно появилась в ядре таблица security. Из описаний встречается весьма скудная информация, что эта таблица предназначена для целей SECMARK и CONNSECMARK, которые еще позволены в таблице mangle для совместимости со старыми правилами (http://lwn.net/Articles/267140/). Однако найти в поисковиках описание последовательности прохождения цепочек таблиц netfiler'а, в котором еще была бы и таблица security, мне не удалось (возможно плохо старался). Вот тогда и захотелось разобраться со всем этитм и помогла мне статья вот эта http://www.opennet.ru/base/net/iptables_inside.txt.html. По её прочтению, полез я в исходники ядра и через некоторое время получил последовательность прохождения цепочек.

Транзитные пакеты движутся следующим маршрутом: [сеть]-raw[PREROUTING]->mangle[PREROUTING]->nat[PREROUTING]-[маршрутизация]-mangle[FORWARD]->filter[FORWARD]->security[FORWARD]-[маршрутизация]-mangle[POSTROUTING]->nat[POSTROUTING]-[сеть]

Пакеты для локальной системы движутся так: [сеть]-raw[PREROUTING]->mangle[PREROUTING]->nat[PREROUTING]-[маршрутизация]-mangle[INPUT]->filter[INPUT]->security[INPUT]-[локальные процессы]

Исходящие пакеты проходят следующие цепочки: [локалдьные процессы]-raw[OUTPUT]->mangle[OUTPUT]->nat[OUTPUT]->filter[OUTPUT]->security[OUTPUT]-[маршрутизация]-mangle[POSTROUTING]->nat[POSTROUTING]-[сеть]

Надеюсь,- эти уточнения окажутся кому-то полезными. mp37b 11:28, 12 мая 2009 (UTC) mp37b[ответить]

Таблицы[править код]

Может вместо "Цепочки организованны в 4 таблицы" лучше "Из этих цепочек составляются 4 таблицы"? Из предлагаемого варианта более очевидно следует что "Цепочки с одинаковым названием но в разных таблицах — совершенно независимые объекты". Mcherenkov 18:38, 11 января 2012 (UTC)[ответить]

Источник — https://ru.wikipedia.org/w/index.php?title=Обсуждение:Netfilter&oldid=95949573