hallo
Die Netfilter-Dokumentation ist recht gut, enthält die Infos speziell zum Thema Prerouting und Postrouting aber ziemlich zwischen den Zeilen versteckt. Daraus ist nicht leicht erkenntlich wieso sich genau dieses Verhalten bei Luigi manifestiert (Thema: Postrouting ACCEPT / Prerouting DROP).
in *der* howto ist auch nur beschrieben wie packet filtering funktioniert. das hat eigentlich nur was mit der filter table zu tun. in der nat table sollen nur nat-spezifische eintraege rein. aus diesem grund soll da auch nicht gefiltert werden. d.h man soll da auch nicht default droppen.
ich kann mir zwar nicht erklaeren, warum die dhcp-anfrage ueberhaupt zum dhcp server durchgekommen ist, aber weshalb die antwort nicht zurueckkommen konnte schon: der prerouting-chain wird nur beim verbindungsaufbau durchlaufen, danach nicht mehr. allerdings muss das paket fuer den verbindungsaufbau durch den prerouting-chain. in dieser wird so ein verbindungsaufbau aber nicht durch eine accept-rule erlaubt.
aus diesem grund kann man auch keine kde-programme mehr starten, bzw sich bei kde nicht einloggen. ein verbindungsaufbau zu localhost durchlaeuft ebenso die prerouting-chain und wird da durch default drop geblockt.
man muesste genau dieselben rules, welche in der filter-table drin sind auch in die prerouting-chain der nat und mangle table einfuegen (warscheinlich auch noch in die anderen chains), damit es funktionieren wuerde.
allerdings macht das wenig sinn (ausser in ganz bestimmten situationen), da ja die filter-table bereits *filtert*. das muss nicht in der mangle und nat table auch noch zusaetzlich geschehen.
deshalb: chains der mangle und nat-table nicht auf default-policy drop setzen um zu filtern!
Das hat nicht viel mit rumprobieren zu tun ;o)
das war darauf bezogen, dass luigi schreibt er hat ein paar sachen rausgefunden und dass er vermutet dass alle ketten hintereinander abgearbeitet werden. in der netfilter dokumentation (alle howtos, tutorials, faq, usw) steht das schon genau beschrieben wie die pakete die chains durchlaufen.
Ich habe mir die Sache nochmal kurz angesehen. [..] Es gibt einen einzigen Hinweis auf der aktuellen Netfilter-Seite (wenigstens was ich persönlich zum Thema finden konnte) und zwar im NAT-HOWTO Kapitel 5 und 5.1. Wenn jemand genaueres zum Thema findet, sagt mir bescheid!
bzgl?
es gibt da noch massenweise tutorials. auch gibts z.b ein interview mit harald welte auf www.kernelnewbies.org (unter irc-logs), wo er netfilter ein bisschen erklaert. aber ich glaube das was er da sagt ist auch schon in den dokus behandelt worden.
Übrigens: ich habe mir kurz nochmal die Sache mit dem IDE-Raid angesehen. Effektiv werden als richtiges IDE-HW-Raid nur 3ware-Systeme von einem ungepatchten Linux-Kernel unterstützt.
ich weiss. ich wuerde nie ein ide-raid im produktionsbereich vorschlagen. (leider lassen sich viele aufgrund der teuren scsi-geraete dazu verleiten) das mit 3ware ist interessant.
auch deshalb wuerde ich keine ide-platten vorschlagen weil ide-platten *fuer server* nicht gebaut worden sind. die sollten eigentlich nicht 24h am tag laufen, das halten ide-platten eigentlich laut spezifikation nicht aus (auch wenn man meistens trotzdem keine probleme hat). fuer sowas gibts scsi. im desktopbereich ists natuerlich was anderes.
peter