Обсуждение:Netfilter
Эта статья тематически связана с вики-проектом «Информационные технологии», цель которого — создание и улучшение статей по темам, связанным с информационными технологиями. Вы можете её отредактировать, а также присоединиться к проекту, принять участие в его обсуждении и поработать над требуемыми статьями. |
таблица security ядра linux[править код]
Не так давно появилась в ядре таблица security. Из описаний встречается весьма скудная информация, что эта таблица предназначена для целей SECMARK и CONNSECMARK, которые еще позволены в таблице mangle для совместимости со старыми правилами (http://lwn.net/Articles/267140/). Однако найти в поисковиках описание последовательности прохождения цепочек таблиц netfiler'а, в котором еще была бы и таблица security, мне не удалось (возможно плохо старался). Вот тогда и захотелось разобраться со всем этитм и помогла мне статья вот эта http://www.opennet.ru/base/net/iptables_inside.txt.html. По её прочтению, полез я в исходники ядра и через некоторое время получил последовательность прохождения цепочек.
Транзитные пакеты движутся следующим маршрутом: [сеть]-raw[PREROUTING]->mangle[PREROUTING]->nat[PREROUTING]-[маршрутизация]-mangle[FORWARD]->filter[FORWARD]->security[FORWARD]-[маршрутизация]-mangle[POSTROUTING]->nat[POSTROUTING]-[сеть]
Пакеты для локальной системы движутся так: [сеть]-raw[PREROUTING]->mangle[PREROUTING]->nat[PREROUTING]-[маршрутизация]-mangle[INPUT]->filter[INPUT]->security[INPUT]-[локальные процессы]
Исходящие пакеты проходят следующие цепочки: [локалдьные процессы]-raw[OUTPUT]->mangle[OUTPUT]->nat[OUTPUT]->filter[OUTPUT]->security[OUTPUT]-[маршрутизация]-mangle[POSTROUTING]->nat[POSTROUTING]-[сеть]
Надеюсь,- эти уточнения окажутся кому-то полезными. mp37b 11:28, 12 мая 2009 (UTC) mp37b
Таблицы[править код]
Может вместо "Цепочки организованны в 4 таблицы" лучше "Из этих цепочек составляются 4 таблицы"? Из предлагаемого варианта более очевидно следует что "Цепочки с одинаковым названием но в разных таблицах — совершенно независимые объекты". Mcherenkov 18:38, 11 января 2012 (UTC)