web-dev-qa-db-ja.com

iptables:DNATの前にフィルタリング

iptables -t filter -A OUTPUT -d 1.2.3.4 -j DROP
iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner abc -j DNAT --to 127.0.0.1:121

最初のルールは、フィルターの前に処理されたため機能しません。それを回避する方法はありますか?

3
user173616

DNATの前に何もフィルタリングする必要はありません。あなたは間違った質問をします。

man iptables-extensions 特にモジュールconntrackとそのオプション--ctstate DNAT--ctorigdst、および--ctorigdstportを確認する必要があります。

4
Hauke Laging
iptables -t nat -A OUTPUT -d 1.2.3.4 -j ACCEPT
iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner abc -j DNAT --to 127.0.0.1:121
0
Sandor Marton