Я использую Linux в качестве роутера:
У Box есть 2 общедоступных IP-адреса и локальный IP-адрес, я использую natting, чтобы разрешить локальным пользователям доступ в Интернет.
Когда локальный пользователь получает доступ к сети, здесь происходит наттинг источника, пакеты, проходящие через общедоступный интерфейс, проверяются ли они через цепочку OUTPUT или через цепочку Forward?
Тот же вопрос для возвращенных пакетов уже установленного сеанса: они проверяются через INPUT или прямую цепочку?
И последнее: считайте меня локальным пользователем, пакеты будут такими:
ПК ---> Локальный интерфейс LinuxBox ---> Открытый интерфейс Linux Box ----> Внешний мир.
Когда пакеты вернутся:
Внешнее слово ----> Открытый интерфейс ----> Локальный интерфейс -----> ПК
Если я хочу применить правило к пакету, когда они перемещаются с локального интерфейса на ПК, следует ли использовать цепочку FORWARD или цепочку OUTPUT?
Что вы думаете ??
Любые пакеты идут через маршрутизатор обрабатывается в цепочке FORWARD. Они НИКОГДА не касаются ВХОДА или ВЫХОДА.
Любые пакеты, исходящие от самого маршрутизатора, будут обрабатываться OUTPUT. Никогда не ВПЕРЕД.
Любые пакеты, предназначенные для адреса, назначенного одному из интерфейсов маршрутизатора, будут обрабатываться цепочкой INPUT. Никогда не ВПЕРЕД.
Единственное (своего рода) исключение из INPUT / OUTPUT, никогда не обрабатываемого INPUT, - это если вы применяете какие-либо правила Destination NAT (в отличие от Source NAT), и в этом случае место назначения пакета, первоначально предназначенного для адреса на одном из интерфейсы маршрутизатора могут быть изменены на что-то другое, и в этом случае он переходит в режим FORWARD, поскольку пакет больше не предназначен для адреса на локальной машине.
пакеты, идущие из вашей страны в сеть общего пользования, обрабатываются в прямой цепочке. То же самое и для пакетов, идущих в обратном направлении. входные данные предназначены для пакетов, конечным пунктом назначения которых является сам маршрутизатор (и не подвергаются битой), откуда бы они ни исходили. и вывод предназначен для пакета, исходящего от самого маршрутизатора и идущего во внешний мир (может он или нет)
Я не понимаю вашего последнего вопроса, но имейте в виду, что вы можете (и должны) настроить iptables на отслеживание состояния, чтобы вам не приходилось беспокоиться о пакетах из установленного сеанса, только о начальном пакете.