Diede
(usa Debian)
Enviado em 26/07/2010 - 23:19h
Alteração da Mangle?
Bom, um exemplo de uso que eu diria é "Bloqueio na lata". Se um pacote passasse por sua interface tendo sua máquina como destino ele faria: raw PREROUTING -> mangle PREROUTING -> nat PREROUTING -> mangle INPUT -> filter INPUT
Se fosse atravessar sua máquina para chegar em outra (FORWARD) d
seria:
raw PREROUTING -> mangle PREROUTING -> nat PREROUTING -> mangle FORWARD -> filter FORWARD -> mangle POSTROUTING -> nat POSTROUTING
A tabela Raw vem antes de qualquer outra na "transversão" de um pacote, então um bloqueio feito lá exclui o pacote de ser processado pelo Conntrack, eliminando processamento e memória gastos desnecessariamente: Em qualquer situação, um "iptables -t raw -A PREROUTING -j NOTRACK" é mais eficiente que esperar o pacote chegar na filter INPUT/FORWARD para então dar um DROP...