Re: [ml] iptables overlap ?

Il giorno lun, 11/12/2006 alle 10.06 +0100, Cherubini Enrico ha scritto:
> Ciao,
> ho le segg. regole in iptables:
> 
> [...]
> iptables -t nat -A POSTROUTING -o $IFACE0 -s 10.1.1.10 -j SNAT --to
> $xxx.xxx.xxx.xxx
> iptables -t nat -A POSTROUTING -o $IFACE0 -j SNAT --to yyy.yyy.yyy.yyy
> 
> Che IP hanno i pacchetti in uscita ? da quello che vedo con tcpdump hanno
> tutti yyy.yyy.yyy.yyy, ovvero la seconda regola sovrascrive quello che dice
> la prima.

Tutti tranne quelli che provengono da 10.1.1.10, questi avranno come ip
sorgente xxx.xxx.xxx.xxx (a meno che ci sia qualche regola + generica a
monte).

> a) c'e' modo per far si' che dopo avere analizzato la prima regola, si
> smetta di scorrere l'elenco delle regole di iptables ?

basta che la prima regola corrisponda ai pacchetti in transito.

> b) c'e' modo per impedire alla seconda regola di sovrascrivere la prima ?
> non mi basta mettere -s ! 10.1.1.10 perche' comunque poi la seconda regola
> la sovrascrive, ma soprattutto perche' ho molte altre regole che verrebbero
> sovrascritte dall'ultima (qui ho riportato solo due righe...) e non posso
> mettere -s ! .. ! .. ! .. ! .. etc, ne' specificare le varie interfacce
> perche' POSTROUTING non accetta -i

non à che nello script ad un certo punto hai una cosa simile:
iptables -t nat -I POSTROUTING -o $IFACE0 -j SNAT --to yyy.yyy.yyy.yyy

in questo modo questa regola ti finisce in testa alla POSTROUTING e
quindi copre le altre meno generiche.

Usa "iptables -t nat -L POSTROUTING -n -v --line-num" per listare le
regole applicate, in questo modo visualizzi le regole ordinate.


	Pietro