Im Kernel 2.4 werden Masquerading und Filter getrennt sein. Wieso ? Im Prinzip schauen sich beide ein Packet an und entscheiden, was damit geschehen soll (verwerfen, neue Hülle drum). Wieso also die Trennung ? Es ist häufiger zu lesen, das beides zwei verschiedene Sachen sind, die nie hätten zusammenwachsen dürfen. Eine Logik, der ich nicht folgen kann. Jemand zur Erleuchtung hier ?
Von Felix Mack am Mo, 20. November 2000 um 19:04 #
ich bin mir nicht ganz sicher, hab mich weniger mit dem neuen iptables beschaeftigt, aber mit hilfe der trennung ist es moeglich, kompaktere firewallskripts zu schreiben, da weniger regeln als bisher aufgestellt werden muessen. mehr infos dazu finden sich in den linux-magazin artikeln, die ich als quellen verwendet habe.
> Im Kernel 2.4 werden Masquerading und > Filter getrennt sein. Wieso ?
Masquerading ist nur ein Teil der bei 2.4 verfuegbaren Funktionalitaet. Hier kommt die ganze NAT-Palette hinzu ([SD]NAT), welche erfordert, dass gewisse Entscheidungen schon vor dem Routing durchgefuehrt werden.
Die INPUT/FORWARD/OUTPUT Regeln finden jedoch alle erst danach statt.
Ausserdem *sind* NAT (damit Masquerading) und Filter vollkommen unterschiedliche Dinge.
Im Prinzip schauen sich beide ein Packet an und entscheiden, was damit geschehen soll (verwerfen, neue Hülle drum). Wieso also die Trennung ?
Es ist häufiger zu lesen, das beides zwei verschiedene Sachen sind, die nie hätten zusammenwachsen dürfen. Eine Logik, der ich nicht folgen kann.
Jemand zur Erleuchtung hier ?
> Filter getrennt sein. Wieso ?
Masquerading ist nur ein Teil der bei 2.4
verfuegbaren Funktionalitaet. Hier kommt die
ganze NAT-Palette hinzu ([SD]NAT), welche
erfordert, dass gewisse Entscheidungen schon
vor dem Routing durchgefuehrt werden.
Die INPUT/FORWARD/OUTPUT Regeln finden jedoch
alle erst danach statt.
Ausserdem *sind* NAT (damit Masquerading) und
Filter vollkommen unterschiedliche Dinge.