iptables: filtra antes do DNAT

3
iptables -t filter -A OUTPUT -d 1.2.3.4 -j DROP
iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner abc -j DNAT --to 127.0.0.1:121

Primeira regra não funciona porque nat processou antes do filtro. Qualquer maneira de contornar isso?

    
por user173616 14.05.2013 / 03:08

2 respostas

4

Você não é obrigado a filtrar nada antes do DNAT. Você faz a pergunta errada.

Você deve dar uma olhada em man iptables-extensions , especialmente o módulo conntrack com suas opções '' --ctstate DNAT , - ctorigdst , and - ctorigdstport '.

    
por 14.05.2013 / 03:26
0
iptables -t nat -A OUTPUT -d 1.2.3.4 -j ACCEPT
iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner abc -j DNAT --to 127.0.0.1:121
    
por 14.05.2013 / 03:41

Tags