Snažím se pochopit nakonfigurovat firewall a jedna věc by mě zajímala, myslím, že není zrovna triviální. Na komplu je zapnuto ipv4.ip_forward, má 2 rozhraní(typicky eth - vniřní síť, wan =tam kde je gateway). Možná tu budu míchat víc věcí najednou.
1. : Jak je ošetřeno, aby pakety 169.254. neprocházely mezi sítěmi? Stačí na to (automaticky existující-proč?) záznam v route: 169.254.0.0 0.0.0.0 255.255.0.0 U 202 0 0 eth Kompl má tedy na eth mimo své i link-local adresu z nějakého důvodu (ip address - Má scope global, jestli to k něčemu). Ale chci aby tofungovalo nezávisle na tom ,jestli LL adresu má a zda je v seznam rout. Nebo ví nějak linux "shůry" že 169.254 nemá routovat ?
2. : Pokud dám net.ipv4.conf.<XXX>.rp_filter = 1 (kromě toho, jestli to nějak vyřeší bod 1.), tak hraje roli, jestli to nastavím (XXX) jen pro wan jen pro eth nebo pro all (stejné jako pro wan a eth ). Bude to mít vliv na "směr ochrany"? (z wanu src=lokální , z wanu cíl nelokální, z Lanu src nelokální, z Lanu cíl ne-internet). Předem se omlouvám za takovéhle zjednodušení. Má smysl mít rp_filtr vůbec, jen na jednom (jen eth, jen wan) rozhraní nebo až teprv na obou?
3. a když se zeptám "hloupě" (vlastně tím generalizuju dotaz), musí na všechno být pravidla do iptables, nebo se i některé věci jako výše dají řešit "na správnějším místě" - definice route, definice adresního rozsahu na rozhraní, definice scope(pokud to má nějaký praktický význam), rp_filter ?