Заметьте, что нет каких либо цепочек, специфичных для отдельных интерфейсов или чего либо подобного. Цепочку FORWARD проходят ВСЕ пакеты, которые движутся через наш брандмауэр/ роутер. Не используйте цепочку INPUT для фильтрации транзитных пакетов, они туда просто не попадают! Через эту цепочку движутся только те пакеты, которые предназначены данному хосту!

А теперь рассмотрим порядок движения пакета, предназначенного локальному процессу/приложению:

Таблица 3-2. Для локального приложения

(Шаг – Таблица – Цепочка – Примечание)


Шаг: 1

Таблица:

Цепочка: -

Примечание: Кабель (т.е. Интернет)


Шаг:

Таблица:

Цепочка: -

Примечание: Входной сетевой интерфейс (например, eth0)


Шаг: 3

Таблица: mangle

Цепочка: PREROUTING

Примечание: Обычно используется для внесения изменений в заголовок пакета, например для установки битов TOS и пр.


Шаг: 4

Таблица: nat

Цепочка: PREROUTING

Примечание: Преобразование адресов (Destination Network Address Translation). Фильтрация пакетов здесь допускается только в исключительных случаях.


Шаг:

Таблица:

Цепочка: -

Примечание: Принятие решения о маршрутизации.


Шаг: 6

Таблица: mangle

Цепочка: INPUT

Примечание: Пакет попадает в цепочку INPUT таблицы mangle. Здесь внесятся изменения в заголовок пакета перед тем как он будет передан локальному приложению.



18 из 183