TOS com Iptables (entrada). INPUT ou PREROUTING? [RESOLVIDO]

fernandoborges
(usa Ubuntu)

Enviado em 16/06/2010 - 11:40h

Pessoal, estou com uma dúvida: Para priorizar pacotes de entrada, eu uso a chain INPUT ou PREROUTING?

Por exemplo, devo usar:
# iptables -t mangle -A PREROUTING -i eth0 -p tcp --sport 22 -j TOS --set-tos 16
Ou
# iptables -t mangle -A INPUT -i eth0 -p tcp --sport 22 -j TOS --set-tos 16

Em minhas pesquisas não encontrei o porque usar uma ou outra.
Qual é a diferença entre as duas abordagens?

Agradeço!!!

hrapytor
(usa Debian)

Enviado em 17/06/2010 - 20:31h

Também nao sei muito bem, mas uso nas duas CHAIN, INPUT e PREROUTING.

Para ter certeza que está funcionando uso o tcpdump e analiso os logs, e funciona mesmo.

fernandoborges
(usa Ubuntu)

Enviado em 17/06/2010 - 22:42h

A resposta do Diede clareou, mas se alguém puder detalhar melhor, seria ótimo!
Valew!

Diede
(usa Debian)

Enviado em 18/06/2010 - 00:00h

Bem, quando um pacote entra no firewall, ele segue uma ordem mais ou menos assim:

1. Vem pela Interface (eth0, ppp0,etc...)
2. Cai na Tabela raw, Chain PREROUTING. (Aqui você manuseia pacotes antes do Connection Tracking.)
3. Cai na tabela mangle na Chain PREROUTING (onde você pode "manglear" o pacote... Mudando o TOS, por exemplo.)
4. Cai na tabela nat, chain PREROUTING (aqui você pode mudar o Destino do pacote)
5. Cai na tabela mangle, chain INPUT. (Ok, aqui o pacote foi eventualmente roteado com as ordem de prioridade que você definiu no passo 3. Aqui é a hora final de definir quem tem mais prioridade de chegar aos processos (http,squid) ).
6. Cai na tabela filter, chain INPUT (Opa, aqui caem inevitavelmente todos os pacotes. (a não ser que você "mate" o pacote na raw...) )

fernandoborges
(usa Ubuntu)

Enviado em 18/06/2010 - 11:14h

Valew, Diede, matou a pau. Muito bom mesmo. Obrigado! [MELHOR RESPOSTA]