*iptables

Расскажите, как такое может быть, что iptables не делает NAT для ICMP, когда пинги идут с одной машины и делает, когда идут с другой? Т.е. просто правило не отрабатывает. Простейшее правило -A POSTROUTING -s 192.168.x.0/24 -d external.subnet.0/24 -j SNAT --to-source external.ip, многократно его писал, и всё ... more →

#thifgh

7 comments

Проброс портов:
*nat
-A PREROUTING -d XXX.XXX.XXX.XXX/32 -p tcp -m tcp --dport 27019 -j DNAT --to-destination 192.168.122.20:27019
-A OUTPUT -d XXX.XXX.XXX.XXX/32 -p tcp -m tcp --dport 27019 -j DNAT --to-destination 192.168.122.20
-A POSTROUTING -d 192.168.122.20/32 -p tcp -m tcp --dport 27019 -j SNAT --to-source ... more →

#ttgnzi

3 comments

извечный вопрос — iptables icmp. кто блочит, что блочит, зачем?

#oszgii

24 comments

А вот то, что айпитаблицы при iptables -F не сбрасывают политики по-умолчанию в ALLOW — это баг или фича?

#ottnii

4 comments

А если я буду -j TARPIT использовать вместо -j REJECT -tcp-reset против всяких линукс-гей-пидарасов, мне по щщам с вертушки не надают?

#ottsse

add comment

А какая там дель была типа DROP, но оставляющее входящее соединение якобы открытым, чтобы с той стороны текли ресурсы?

#ottshz

add comment

Пстач, почему мне от этого так сильно хочется блевать?

The tables are as follows:
filter:
This is the default table (if no -t option is passed). It contains the built-in chains INPUT (for packets destined to local sockets), FORWARD (for packets being routed through the box), and OUTPUT (for locally-generated ... more →

#efefz

17 comments

for example:

table filter {
chain INPUT {
proto tcp dport ssh mod state state NEW @subchain "SSH" {
mod recent update seconds 300 hitcount 5 DROP;
mod recent set NOP;
}
}
}

#fgsnz

add comment

Ёбтэйблс-гуру, имеет ли смысл держать подобное правило "-A FORWARD -i $LAN -d $LANIP -j DROP"

#fsfen

add comment

как прописать в одном правиле два назначения? ну что нибудь типа
-s 10.0.0.0\24 -d ! 10.0.0.0\24 -d ! 192.168.0.0\24 -j redirect куда-то там?

#hhgsg

10 comments