CU线上连载讨论一 Linux iptables使用问题和内核Netfilter流程
网络和Linux是当今IT行业比较热的两个话题,很多初学者不知道如何下手来学习Linux下的网络。这里有两个话题来循序渐进的了解Linux的网络部分.第一个话题为如何使用Linux下的现有工具来解决网络中的问题以及从应用层的观点来了解Netfilter流程;第二个话题从内核源码的角度来剖析Linux网络部分。讨论话题:
Linux iptables使用问题和内核Netfilter流程——把平常使用中的问题总结一下,让初学的人少走一些弯路;或者把平常用到的很多模块的安装使用一起交流一下。
活动时间:2011-07-14——2011-07-27
邀请嘉宾:
platinum 白金 CU社区资深版主
Godbach哥德巴赫 CU社区资深版主
活动奖励:Linux网络编程图书五本,活动结束后,积极提问讨论者(积极回复超过3贴)随机抽取5名幸运网友进行奖励。
作者: 宋敬彬 孙海滨 # 丛书名: Linux典藏大系 出版社:清华大学出版社定价:79元
图书简介:
linux是目前最流行的开源操作系统,网络功能在linux下占有核心的地位。本书循序渐进地从应用层到linux内核、从基本知识点到综合案例,向读者介绍如何在linux下进行网络程序设计。本书内容分为4个部分:linux程序设计基础部分、linux用户空间网络编程部分、linux内核网络编程部分以及综合案例部分。内容包含linux系统概述、linux编程环境、linux文件系统简介、linux下的进程和线程、tcp/ip协议族、应用层网络服务程序、tcp编程、主机信息获取、数据io复用、udp编程、高级套接字、套接字选项、原始套接字、服务器模型、ipv6、linux 内核网络部分结构及分布、netfilter框架内报文处理。为了方便读者学习,本书最后一个部分介绍了3个综合案例,包括应用层的web服务器例子、简单的应用层网络协议站例子和内核层网防火墙的例子。. 沙发招租 这个必须支持 好活动,支持啊。
欢迎大家踊跃讨论! 在论坛里面,新手最常见的问题,有一下两个
1.没有开启内核的ip转发.
这个可以修改/etc/sysctl.conf,将net.ipv4.ip_forward = 0的0改成1
2.iptables默认规则为Drop的情况下,没有设置ESTABLISHED,RELATED这两个状态的包允许通过 在论坛里面,新手最常见的问题,有一下两个
1.没有开启内核的ip转发.
这个可以修改/etc/sysctl.conf,将net. ...
chenyx 发表于 2011-07-14 11:04 http://bbs.chinaunix.net/images/common/back.gif
:em02: 欢迎分享~! 回复 5# chenyx
2.iptables默认规则为Drop的情况下,没有设置ESTABLISHED,RELATED这两个状态的包允许通过
这个其实在于你用不用状态检测了。
如果不用的话,那么前面明确所有可以通过的规则,其余的 Drop 就可以了。 回复 7# Godbach
哦,是这样啊,godbash给个实例,研究下 本帖最后由 瀚海书香 于 2011-07-14 11:30 编辑
很多单位需要禁止员工上某些网站,但是单纯的字符串匹配无法进行批量的域名匹配,而且容易出现误匹配。
这有一个以前写的用来匹配域名的模块。
使用方法如下:
iptables -A FORWARD -m domain --domain ".baidu.com" -j DROP
上面的规则会禁止掉所有以baidu.com结尾的域名查询。
iptables -A FORWARD -m domain --domain "www.sina.com.cn" -j DROP
上面的规则会禁止掉www.sina.com.cn域名的查询。
附件中源码,包括netfilter的match模块和iptables的库。
现在的遗憾是只支持2.6.24.4版本,哪位大侠看看给做成多版本支持的。:em27: 这有一个以前写的用来匹配域名的模块。
使用方法如下:
iptables -A FORWARD -m domain --domain ".bai ...
瀚海书香 发表于 2011-07-14 11:21 http://bbs.chinaunix.net/images/common/back.gif
LZ真给力啊大家也一起分享下自己的好东西嘛:mrgreen: