《iptables 高级使用研讨》PPT 及相关源代码（讲座视频新鲜出炉！！！）

chinaunix874

1、可以，如果需求是一刀切全都不允许而不是隐藏附近几跳的话你的这种做法是最好的
2、你是指在系统中直接 ...
platinum 发表于 2010-08-09 10:23

多谢白金。不过还是有几个问题想探讨。
关于iptables的状态检测的问题，
比如还是第一个tracert的问题，我写一条如下的策略：
iptables -A POSTROUTING -s 172.16.11.0/24 -o eth0 -j MASQUERADE
这个时候，172.16.11.0这个网段的用户就能够正常上网，同时也能够做tracert了，但是如果我想写一条策略，拒绝ICMP time exceeded，让内部用户都不能做tracert，应该怎么加策略？
或者说，是不是上面那条策略，没有用-m stats的模块，就是工作在包过滤的模式下？

2，我是指在系统中直接用做绑定，就是arp -s或者说修改/etc/ethers文件。从您的意见来看，这种方法并不是很好？

platinum

对于第一个问题：
如果让内部用户不能做 tracert，那么可以反向思考
内网 tracert，需要得到外网的 ICMP time exceeded
所以只要阻止外网进来的 ICMP time exceeded 包就行了
但是，tracert 有两种，一个是利用 ICMP 实现的，一个是利用 UDP 包，windows 使用前者，linux 默认使用后者，你需要测试
这种设置方式无需借助 state 模块，只需要过滤 icmp 的特定内容就行了

对于第二个问题：
各有优缺点，系统的 arp 方式效率高，但可能不稳定，至于高版本是否不稳定我没有研究过
iptables 的实现方式从实现逻辑上没有问题，但规则数多了必然会影响效率
如果机器硬件性能足够，带宽不大的情况下，iptables 是没有问题的，应为首选

chinaunix874

很抱歉我对iptables还不是特别明白，尤其是状态检测机制不太理解。
也就是说，默认情况下，iptables不是状态检测的，而是工作在包过滤模式下对吧？

platinum

如果没做过 nat，没使用过 state、connmark、CONNMARK、connlimit、connbytes、layer7 这些模块
那么 iptables 是工作在纯包过滤环境下的
否则，iptables 就启用了状态分析功能，对数据包进行状态统计，但不一定要处理
如果你正在使用上述模块，那么状态处理就启用了

jerrymy

iptables 的资料看过一些，一看就懂，但很少运用，不查资料啥也写不出来，惆怅。{:3_180:}

raindy1234

lz：请问
iptables -i eth0  
iptables -m --physdev --physdev-out  
这两者区可以混合使用吗，比如iptables -n filter -A FORWARD -i eth0 -m physdev --physdev-out eth2/br0 -j APPECT
eth2属于br0里的，我做过测试，eth0作为一个网关，eth1和eth2属于br0，给br0设一个地址后，想让br0也作为网关貌似转发不出去数据包，，，等解，谢谢，，，

platinum

iptables 的资料看过一些，一看就懂，但很少运用，不查资料啥也写不出来，惆怅。
jerrymy 发表于 2010-08-09 23:32

这个问题其实也出现在我身上，应该正确去看待
其实我们的大脑容量是有限的，在小的时候能记忆很多东西，原因是那时是空的
现在很难记忆东西，记了就忘，是因为脑子里已经有太多东西了
所以，我们长大后的记忆方法要有所改变，不能再像小时候一样记整个字典，我们现在需要记忆的只是字典的目录，以及记忆会查字典的方法
真正遇到问题时可以快速解决问题就行了

platinum

lz：请问
iptables -i eth0  
iptables -m --physdev --physdev-out  
这两者区可以混合使用吗，比如ipt ...
raindy1234 发表于 2010-08-10 08:37

-m --physdev 适用于桥接口
如果是桥接口，就要用 physdev 而不应该用 -i -o
如果不是桥接口，就应该直接使用 -i -o 而不是 physdev

raindy1234

额，，也就是不可混用的意思？是网桥的话一条语句全部是phydevs，是网关模式的话就是-i -o了？
iptables -n filter -A FORWARD -i eth0 -m physdev --physdev-out br0 -j APPECT 如果把配有地址的网桥br0作为网关来使呢？这样可以吗

platinum

额，，也就是不可混用的意思？是网桥的话一条语句全部是phydevs，是网关模式的话就是-i -o了？
iptables - ...
raindy1234 发表于 2010-08-10 10:10

一定要注意的是，phydevs 后面跟的一定是物理接口，不是逻辑接口，br0 属于逻辑接口
至于能否混用要看你的实际环境了，你前面的描述不是很清晰，不好判断