[must die]

Перечитайте еще раз внимательно iptables tutorial (раздел: прохождение таблиц и цепочек), там говорится несколько иное.
По умолчанию новая цепочка добавляется в таблицу filter.

[tolll]

Цитата:

Перечитайте еще раз внимательно iptables tutorial (раздел: прохождение таблиц и цепочек), там говорится несколько иное.

так вот читаю (http://www.opennet.ru/docs/RUS/iptables/), открыт он у меня Несовсем понял про что там иное говорится?

Цитата:

По умолчанию новая цепочка добавляется в таблицу filter

Не совсем понял - судя по чтению вышеприведённой (самой распространённой) доки не таблицы состоят из цепочек, а в каждой из цепочек прохождения пакетов есть свои таблицы. Да и как она может добавиться в таблицу filter если их несколько? (в цепочках FORWARD и INPUT) Или я что-то недовкурил?

[BuGfiX]

Управление на созданную вами цепочку передается с помощью ключа "-j", например:

Код:

iptables -A INPUT -p tcp -j tcp_packets

из любого "места" фаервола.

[must die]

tolll

Глава 3. Порядок прохождения таблиц и цепочек

В этой главе мы рассмотрим порядок прохождения таблиц и цепочек в каждой таблице.

[tolll]

must die

Цитата:

3.1. Общие положения Когда пакет приходит на наш брандмауэр, то он сперва попадает на сетевое устройство, перехватывается соответствующим драйвером и далее передается в ядро. Далее пакет проходит ряд таблиц и затем передается либо локальному приложению, либо переправляется на другую машину.

там же далее нписано: "Порядок следования пакета приводится ниже" и далее рассматривается прохождение пакета по таблицам в рамках той или иной цепочки. Т.е. в зависимости от того куда плывёт пакет (input, output, forwarding, pre\postrouting) он будет проходить соотв-й ряд таблиц, для каждой цепочки свой. Я правильно понимаю? (мне так сказать что бы полностью философию понять)

BuGfiX

Цитата:

из любого "места" фаервола

т.е. когда я создаю цепочку командой "-N" она пока никуда не попадает в обработку пакетов до тех пор пока я в той или иной таблице (опять же любой или предпоч. filter) явно не укажу что пакет надо передать на обработку в эту пользовательскую_цепочку командой "-j tcp_packets" скажем, так? А как тогда оформляется конец этой цепочки - т.е. каким способом файер поймёт что это была последняя команда (строка) в данной цепочки и вернётся назад в исходную? (в самом файле то команды идут непрерывно, вроде разделителей там нет)

[tolll]

это кстати ещё один вопрос у меня как iptables узнаёт по конфиг файлу где конец цепочки - там же записи могут идти непопорядку... Или она анализирует их и потом в памяти строит уже таблицы в соотв-и с этим файлом где конец цепочки это просто последнее правило которое iptables "нашла" в конфиг-файле для данной цепочки?

[BuGfiX]

Цитата:

когда я создаю цепочку командой "-N" она пока никуда не попадает в обработку пакетов до тех пор пока я в той или иной таблице (опять же любой или предпоч. filter) явно не укажу что пакет надо передать на обработку в эту пользовательскую_цепочку командой "-j tcp_packets" скажем, так?

да, так.

Цитата:

каким способом файер поймёт что это была последняя команда

Про это написано в пукте 6.5

Цитата:

Если пакет достиг конца цепочки то он будет возвращен в вызывающую цепочку (в нашем случае это цепочка INPUT) и движение пакета продолжится с правила, следующего за правилом, вызвавшем переход. Если к пакету во вложенной цепочке будет применено действие ACCEPT, то автоматически пакет будет считаться принятым и в вызывающей цепочке и уже не будет продолжать движение по вызывающим цепочкам. Однако пакет пойдет по другим цепочкам в других таблицах.

Цитата:

Или она анализирует их и потом в памяти строит уже таблицы в соотв-и с этим файлом где конец цепочки это просто последнее правило которое iptables "нашла" в конфиг-файле?

Грубо говоря, так и есть.

[tolll]

BuGfiX
must die
Big Thx!!!

[tolll]

Вот ещё вопрос возник
где описано в каких файлах какие настройки хранятся по iptables? А то в how-to что то смутное
+ у еня допустим redhat (8-ка) - там при установке указ-ся уровень без-ти и соот-но в файле /etc/sysconfig/iptables появляются записи с непонятным синтаксисом типа rh-lokkit и т.д. Это что такое?