Linux 2.4 iptables

Udgående pakker

Udgående pakker fanges i PREROUTING mangle, så pakkerne kan mærkes uafhængigt af hinanden. Årsager:

Pakker skal kunne sendes til INPUT (i tilfælde af proxy server).
Pakker skal kunne sendes til flere forskellige routere.

Dette kan kun lade sig gøre i PREROUTING mangle!!!


                  plco (chain out)     plo1c0a80005brugernavn                        plubrugernavn
  __________      ________________     _________________________________________     ___________
 /          \    |                |   |                                         |   |           |
| PREROUTING |-->| -s 192.168.0.5 |-->| -p tcp --dport 80 -j MARK --set-mark 32 |   | -j ACCEPT |
|   mangle   |   | -s xxx.xxx.x.x |   | -p icmp -j ACCEPT                       |   |           |
 \__________/    | -s xxx.xxx.x.x |   | -j plubrugernavn                        |-->|___________|
                 |     .          |   |_________________________________________|
                 |     .          |
                 |     .          |
                 |________________|

Indgående pakker

Indgående pakker fanges i FORWARD, idet pakkerne bliver demaskeret umiddelbar før FORWARD.


               plci (chain in)      pli1c0a80005brugernavn                         pldbrugernavn
  _______      ________________     __________________________________________     ___________
 /       \    |                |   |                                          |   |           |
| FORWARD |-->| -d 192.168.0.5 |-->| -p tcp -m state EST,REL -j pldbrugernavn |-->| -j ACCEPT |
|         |   | -d xxx.xxx.x.x |   | -p icmp -j ACCEPT                        |   |           |
 \_______/    | -d xxx.xxx.x.x |   | -j pldbrugernavn                         |-->|___________|
              |     .          |   |__________________________________________|
              |     .          |
              |     .          |
              |________________|

Kædenavne

plo/pli kæderne er navngivet på følgende måde:

De første to tegn er altid 'pl' (gælder også generelt for de kæder pl danner).
Tredie tegn er enten 'o' for output eller 'i' for input.
Fjerde tegn er enten '0' for dynamisk bruger eller '1' for statisk bruger.
Femte til og med tolvte tegn er ip adressen i heximal tal.
Fra og med trettende tegn er brugernavn.

plu/pld kæderne er navngivet på følgende måde:

De første to tegn er altid 'pl'.
Tredie tegn er enten 'd' for download eller 'u' for upload.
Fra og med fjerde tegn er brugernavn.