From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vsu@mivlgu.murom.ru>
From: Sergey Vlasov <vsu@mivlgu.murom.ru>
To: mandrake-russian@altlinux.ru
Subject: Re: [mdk-re] IPCHAINS (by =?koi8-r?B?UmU6?=
	=?koi8-r?B?INfP0NLP0yDPIM3B0tvS1dTJ2sHDyckp?=
Message-ID: <20020219122545.B28168@vcserver.mivlgu.ru>
Mail-Followup-To: mandrake-russian@altlinux.ru
References: <1014030876.3214.11.camel@alexey.wolf.ru> <20020219032302.7250756F69@mail.anker.ru> <1014107434.7796.32.camel@alexey.wolf.ru> <20020219082522.67557571FE@mail.anker.ru> <001201c1b924$60e64730$9cb305d4@cyb>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <001201c1b924$60e64730$9cb305d4@cyb>
Sender: mandrake-russian-admin@altlinux.ru
Errors-To: mandrake-russian-admin@altlinux.ru
X-BeenThere: mandrake-russian@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: mandrake-russian@altlinux.ru
List-Help: <mailto:mandrake-russian-request@altlinux.ru?subject=help>
List-Post: <mailto:mandrake-russian@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=subscribe>
List-Id: Linux-Mandrake RE / ALT Linux discussion list <mandrake-russian.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/mandrake-russian/>
Date: Tue Feb 19 12:19:28 2002
X-Original-Date: Tue, 19 Feb 2002 12:25:45 +0300
Archived-At: <http://lore.altlinux.org/community/20020219122545.B28168@vcserver.mivlgu.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Tue, Feb 19, 2002 at 12:04:03 +0300, Mika wrote:
> Hi!
> 
> > А почему в цепочку forward а не input
> > forward ведь он для маскарада а у вас, как вы говорили реальные адреса
> >---
> >Maixm mdk@anker.ru
> 
> 
> Для меня вопрос с forward стал загадкой.
> Предположим есть два сетевых интерфейса. К eth0 подключен инет, к eth1-
> локальная сеть.
> На eth0 из инета приходит пакет предназначенный для машины находящейся в
> локальной сети. Я понимаю так, что он поступает в цепочку INPUT, проверяется
> правилами и если все OK, то отправляется в цепочку forward. Или он сразу
> должен попадать в цепочку forward, где проверяется на соответствие правилам
> и отправляется на eth1?
> Действительно ли forward используется только для маскарадинга? Если у меня в
> одной из сетей используются реальные адреса, и расположен DNS-сервер(что
> исключает использование маскарадинга), а со слов Максима forward
> используется для маскарадинга, то каким образом без forward пакет пришедший
> на eth0 попадет на eth1?

В ipchains пакеты, проходящие через маршрутизатор, попадают сначала в
input, потом в forward, потом в output.  Однако есть странность: ответные
пакеты после маскарада попадают сразу в output, минуя forward.

В iptables пакеты "не себе" проверяются только в forward.

В общем, читайте IPCHAINS-HOWTO, IPTABLES-HOWTO - там все это даже
нарисовано.