2013-10-18 407 views
2

我需要一些帮助!有点挑战性的东西。iptables转发策略不起作用

我不知道为什么包走线槽FORWARD链,如果我有这样的配置:

#set policy 
iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT ACCEPT 

#forward with TEE 
iptables -t mangle -A PREROUTING -d $HOST1 -p udp --dport 162 -j TEE --gateway $HOST2 

的政策,因为是在FORWARD链过滤表丢弃策略,但它不应该放下一切,一切都会到$ HOST2。

在我刷新所有表后,我使用了上面的配置。我用“iptables -L”检查过,并且在那里,但不起作用。

在未来,我想制作一些“-t过滤器 - 前进”的规则,但首先我必须看到它放弃了一切。

还有一个问题。

您认为这样做有效吗?

#forward with TEE 
iptables -t mangle -A PREROUTING -d $HOST1 -p udp --dport 162 -j TEE --gateway $HOST2 
iptables -t mangle -A PREROUTING -d $HOST1 -p udp --dport 162 -j TEE --gateway $HOST3 

将数据包转发到HOST3 ??

感谢您阅读本文! 亲切的问候!

回答

1

在破损中发生的事情发生得很早。对我来说,你得到-j TEE行为是有道理的。 (顺便说一句:你的TEE链是什么样的?请注意,这是不同于 - 对等路由选项。)

只要取出TEE规则,它应该放弃否则会得到FORWARD的所有东西。那么你应该清楚添加你的过滤规则(确保密切关注规则的应用顺序)

对于你的第二个问题:它取决于在TEE结束时是否有RETURN语句链。如果数据包将返回,那么是的,你会得到这两个规则的行为。否则,它将首先跳到TEE,而不回到以下规则。