iptables, про таблицы и цепочки

[lega911]

если мне надо сделать правило на цепочку PREROUTING, без разницы в какой таблице её делать (raw, mangle, nat) ?
все равно пакет проходит через все эти таблицы, или у каждой таблицы свои доп. возможности?

[Sam Stone]

Судя по описанию разница все-таки есть.

[lega911]

в этой картинке не нарисована "raw PREROUTING"
Пользователь решил продолжить мысль 28 Июля 2010, 09:23:51:

Судя по описанию разница все-таки есть.

в описании написано "Обычно эта цепочка используется ..."
т.е. это не обязательно, а просто согласие на размещение правил.

[censor]

http://www.debianhelp.ru/iptables/#TRAVERSINGOFTABLES

[Mam(O)n]

т.е. это не обязательно, а просто согласие на размещение правил.

Это не согласие применения правил, а объяснение зачем эта таблица нужна. Типа, зачем ещё может она понадобится, они просто не могут сказать...

              raw:
                  This  table  is  used mainly for configuring exemptions from
                  connection tracking in combination with the NOTRACK  target.
                  It registers at the netfilter hooks with higher priority and
                  is thus called before ip_conntrack, or any other IP  tables.
                  It  provides  the following built-in chains: PREROUTING (for
                  packets arriving via  any  network  interface)  OUTPUT  (for
                  packets generated by local processes)

[lega911]

если например мне нужно установить только такое правило:

Код: [Выделить]

iptables -t xxx -A PREROUTING -p tcp -s 192.168.1.1 -j ACCEPT
я могу выполнить любое из этих, т.к. они работают одинаково или есть какое-то отличие?

Код: [Выделить]

iptables -t raw -A PREROUTING -p tcp -s 192.168.1.1 -j ACCEPT
iptables -t mangle -A PREROUTING -p tcp -s 192.168.1.1 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 192.168.1.1 -j ACCEPT


[Mam(O)n]

Да, но сам по себе -j ACCEPT тебе ничего не даст, кроме как выход из данной цепочки...

[lega911]

я просто понять пытаюсь,

о в ВикиПедии вычитал: действие REDIRECT можно применять только в цепочках PREROUTING и OUTPUT таблицы nat, то есть ограничения могут быть не только на таблицы, но на отдельные цепочки.

т.е. этот REDIRECT в других таблицах работать не будет? ща попробую.

да, точно. не дает создать.
значит у разных таблиц - разные возможности.

все, мой вопрос решен

всем спасибо.

[AnrDaemon]

У разных таблиц - разное назначение, обуславливаемое состоянием пакета, попадающего на вход таблицы.