Techyou labs
文章RSS
评论RSS
登录
真正的爱应该超越生命的长度,心灵的宽度,灵魂的深度
搜索
关于作者
文章分类
Default
Linux/Unix
Database
Cloud
Networking
Security
Programming
最新文章
openvpn自签名证书
带你重走 TiDB TPS 提升 1000 倍的性能优化之旅
Unicode 中的 BIDI 双向性算法[转]
在linux中设置优先使用ipv4,而不是ipv6
linux下WPS高分辨率下因字体缩放导致字体发虚的问题
ssh-rsa not in pubkeyacceptedalgorithms问题解答及处理办法 Permission denied (publickey)
在 Ubuntu 22.04 中使用 PipeWire 替换 PulseAudio
MYSQL简单监控指标
deepin-wine6-stable下TIM悄悄崩溃问题
openwrt 设置ipv6地址分配
最新评论
renothing: 备注:路由器端优先设置ipv4并不影响客户端的ip...
renothing: 二次反向代理跟你应用程序得处理时间有关系吧?尤其是...
二次反向代理性能很差,怎么优化的?: 我也用nginx 做了个二次反向代理,但是并发连3...
hostyep: 交换链接么?目前每天保持30个左右对口IP,每月都...
yzhkpli: error while loading share...
美肤宝: 感谢分享。。。
lq: 嗯 喜欢弄得点单点
按月归档
August 2023
March 2023
December 2022
November 2022
September 2022
August 2022
March 2022
January 2022
November 2021
October 2021
September 2021
August 2021
July 2021
June 2021
February 2021
September 2020
May 2020
September 2019
August 2019
July 2019
June 2019
May 2019
January 2019
December 2018
November 2018
October 2018
September 2018
August 2018
July 2018
June 2018
April 2018
March 2018
December 2017
October 2017
September 2017
August 2017
April 2017
March 2017
February 2017
August 2016
July 2015
November 2014
September 2014
August 2014
July 2014
June 2014
July 2013
April 2013
September 2012
July 2012
May 2012
April 2012
February 2012
January 2012
December 2011
November 2011
October 2011
September 2011
August 2011
December 2010
November 2010
October 2010
September 2010
August 2010
July 2010
June 2010
May 2010
April 2010
March 2010
February 2010
January 2010
December 2009
November 2009
October 2009
September 2009
August 2009
June 2009
May 2009
April 2009
March 2009
February 2009
December 2008
November 2008
September 2008
August 2008
July 2008
June 2008
常用标签
Mysql
nginx
mysql优化
linux
debian
Powered by
Typecho)))
Optimized by
EAimTY
iptables学习笔记
February 11, 2009
iptables 结构: #五链: 链的作用:容纳各种防火墙规则,相当于容器 链的分类依据:处理数据包的不同时机 系统默认自带的5种规则链: INPUT:处理入站数据包 OUTPUT:处理出站数据包 FORWARD:处理转发数据包 POSTROUTING:在进行路由选择后处理数据包(出站过滤) PREROUTING:在进行路由选择前处理数据包(入站过滤) 注:POSTROUTING、PREROUTING在做NAT时所使用 #四表: 表的划分依据:和链相似,按功能进行划分 默认包括4个规则表: > raw表:包含了`PREROUTING`和`OUTPUT` 在这里进行跟踪。 > mangle表:包含了:`PREROUTING`,`INPUT`,`FORWARD`,`OUTPUT`,`POSTROUTING`。 在这里做标记。 >nat表:包含了:`PREROUTING`,`INPUT`,`OUTPUT`,`POSTROUTING`. 在这里进行ip或端口修改。 >filter表:包含了`INPUT`、`FORWARD`、`OUTPUT`. 在这里进行过滤数据。 (默认使用filter。raw:优先级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能) #状态 4大包状态:INVALID,ESTABLISHED,NEW和RELATED #动作 处理动作除了 ACCEPT、REJECT、DROP、REDIRECT 和 MASQUERADE 以外,还多出 LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK 等 #包流程 iptables和策略路由类似,先链后表,在链路上分别顺序查表做匹配. 规则表之间的顺序:raw→mangle→nat→filter,即先做状态跟踪→在做标记→在做修改源目IP或端口→在做是否过滤 规则链之间的顺序: 入站:PREROUTING→INPUT 路由前发现是自己的,直接进站 出站:OUTPUT→POSTROUTING 转发:PREOUTING→FORWARD→POSTROUTING 注意:PREROUTING和POSTROUTING是最外围,规则链是靠时机分的,分为了入站,出站,转发三个时机 规则链内的匹配顺序: 按顺序依次检查,匹配即停止(LOG策略外) 若找不到相匹配规则,按该链的默认策略处理 > 以本机为目标地址的包: ``` 入站:数据包发来,路由前,先做跟踪,再做标记,修改,查看路由,如果是发往本机的直接往上走,进站前标记,然后出站过滤 出站:出站和路由后,指的是最上面的路由选择,本机选择之后先经过跟踪→标记→修改→是否过滤,出站之后是mangle表的路由后→nat表的路由. ``` PREROUTING(raw,mangle,nat,filter) POSTROUTING(raw,mangle,nat,filer) > 路由转发包: ``` 转发:数据进来以后,经过路由前raw、mangle、nat,路由前完成之后进行选择,发现此数据是需要发到别的地方,非本地,通过forward,经过mangle的forward,filter的forward,还要经过路由后标记、修改IP及端口,结束 ``` PREROUTING(raw,mangle,nat,filter) FORWARD(mangle,filter) POSTROUTING(raw,mangle,nat,filer) ![tables_traverse.jpg][1]  #dnat/snat ![NAT.jpg][2] ![SNAT.jpg][3] ![SNAT_1.jpg][4] ``` iptables -t nat -A POSTROUTING -d 192.168.0.101 -j SNAT --to 192.168.0.1 ``` ![DNAT.jpg][5] ![DNAT_1.jpg][6] ``` iptables -t nat -A PREROUTING -d 202.202.202.1 -j DNAT --to-destination 192.168.0.101 ``` 参考 https://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html [1]: https://blog.37hi.com/usr/img/8dcd87d7f4ad5f1db8bde36bc95ac0ec.jpg [2]: https://blog.37hi.com/usr/img/18cd4eca283f894e74abc5f74bc78595.jpg [3]: https://blog.37hi.com/usr/img/8b574647af6f8cf95936444f861cb8f9.jpg [4]: https://blog.37hi.com/usr/img/9aafa8062d6bc6b32983450fab85abfc.jpg [5]: https://blog.37hi.com/usr/img/03bbaa3327dcaadc8fe28d0fb440a1fd.jpg [6]: https://blog.37hi.com/usr/img/a16f0c8f51d1e0d0d5524d2a0a5c1358.jpg
暂无评论
添加新评论
称呼
Email
网站
取消回复
内容
发表评论