@coddoc

Трассировка в IPTables?

Доброе время суток to ALL!

Допустим, есть такая таблица raw:

*raw
-P PREROUTING ACCEPT
-P OUTPUT ACCEPT
-A PREROUTING -i eth0 -s x.x.x.x/32 -p tcp -m tcp --dport 12345 -j TRACE
-A OUTPUT -o eth0 -d x.x.x.x./32 -p tcp -m tcp --sport 12345 -j TRACE
COMMIT

Что означает "policy:2" в префиксе "TRACE: raw:PREROUTING:policy:2" ?

Спасибо.
  • Вопрос задан
  • 165 просмотров
Решения вопроса 1
hint000
@hint000
у админа три руки
https://gist.github.com/egernst/2c39c6125d916f8caa...
Note: If the matching rule number (3 for prerouting chain of raw table) is greater than the number of rules there, it means there wasn't a match for any of the rules and it is just returning to whomever called the chain.

https://stackoverflow.com/questions/41748330/how-t...
came to this question too and dit some testing: policy:5 seem to refer to the fictive last "rule" of your chain, where the policy is considered. so loonyuni's traced chain should have 4 explicit rules in it.

Иными словами, policy означает, что сработало policy (правило по-умолчанию для цепочки).
А policy:2 означает лишь то, что в цепочке было одно правило и policy оказалось последним и вторым. Если бы было четыре правила в цепочке, то где-нибудь в логе появилось бы policy:5.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
@coddoc Автор вопроса
Спасибо. Конечно же, цель TRACE не терминирующая, пакет уходит из таблицы по полиси.
Даже неудобно, что так затупил.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы