https://opennet.ru/openforum/vsluhforumID1/89639.html Если писать правила разрешающие доступ по цепочкам используя conntrack,<br>то появляется (формально, по меньшей мере) возможность указать source и destination address в двух местах. это параметры --source, --destination и -m conntrack --ctorigsrc,--ctorigdst<br>какой в этом "тайный" смысл и как методологически делать правильно?<br><br>Стоит ли все правила для разрешения доступа, плюс правила DNAT/SNAT писать используя -m conntrack<br>на сколько conntrack "кашерная" штука?<br><br>Объясните, пожалуйста, смысл такого часто встречающегося выражения как -p tcp -m tcp<br>(аналогично -p udp -m udp, -p icmp -m icmp)<br>какие причины дополнительно к -p указывать такие extension-ы<br> https://opennet.ru/openforum/vsluhforumID1/89639.html#3 Fri, 20 Aug 2010 06:37:56 GMT &gt; Хотя... если приглядеться к man iptables, то-таки <br>&gt; "-p tcp" _подразумевает загрузку "-m tcp" и всё выше сказанное оказывается... ээээ... <br>&gt; немного :D неточным.<br><br>это меня и смутило<br><br>&gt; А за "-m tcp" обычно следуют параметры этого самого модуля -- осмысленные только для этого самого протокола (и соотв.пакетов).<br>&gt; Выражение часто встречается, так как считается, наверное, логичным сначала сделать (быструю) встроенную проверку (-p tcp), прежде чем вызывать более специализированную из внешнего модуля (медленную?).<br><br>если смотреть -m udp и -m icmp то у них собственных параметров не густо :-)<br>то есть опять получается, что одно и тоже (в этом случаи порты) можно указать двумя способами<br><br><br> https://opennet.ru/openforum/vsluhforumID1/89639.html#2 Thu, 19 Aug 2010 16:04:51 GMT &gt;Объясните, пожалуйста, смысл такого часто встречающегося выражения как -p tcp -m tcp <br>&gt;<br>&gt;(аналогично -p udp -m udp, -p icmp -m icmp) <br>&gt;какие причины дополнительно к -p указывать такие extension-ы <br><br>Эти ключи относятся чуть к разным частям пакета.<br>Та, что "-p tcp" смотрит, что протокол-таки ==tcp и _не_ обрабатывается модулем -m tcp.<br><br>А за "-m tcp" обычно следуют параметры этого самого модуля -- осмысленные только для этого самого протокола (и соотв.пакетов).<br><br>Выражение часто встречается, так как считается, наверное, логичным сначала сделать (быструю) встроенную проверку (-p tcp), прежде чем вызывать более специализированную из внешнего модуля (медленную?).<br><br>-t filter -A in_mailpass_pop3_s1 -p tcp --sport 1024:65535 --dport 110 -m state --state NEW\,ESTABLISHED -j ACCEPT<br>-t filter -A out_mailpass_pop3_s1 -p tcp --sport 110 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT<br><br>В более общем случае - первыми идут "встроенные" опции, потом "вызов" внеш.модулей -- каждого со своими параметрами. https://opennet.ru/openforum/vsluhforumID1/89639.html#1 Thu, 19 Aug 2010 15:41:59 GMT &gt;какой в этом "тайный" смысл и как методологически делать правильно? <br><br>С точки зрения банальной ерундиции... -s - смотрит на ip в конкретном пакете,а --ctorigsrc - на адрес, откуда было открыто соединение, с которым "сопоставился" этот пакет.<br><br>Тайный смысл, наверное, в том, что оно никому не надо, а "правильно" -- не заморачиваться~~~ Но !методологически! это всё, конечно же, неправильно.<br>