《iptables 高级使用研讨》PPT 及相关源代码（讲座视频新鲜出炉！！！）

roong

iptables -A INPUT -m ttl --ttl-lt 4 -j DROP
iptables -A FORWARD -m ttl --ttl-lt 6 -j DROP
这里的4和6有什么意义吗？

chinaunix874

iptables -A INPUT -m ttl --ttl-lt 4 -j DROP
iptables -A FORWARD -m ttl --ttl-lt 6 -j DROP
这里的4和 ...
roong 发表于 2010-08-12 10:40

这个应该没什么特别的意思，就是指TTL小于4或者小于6。

chinaunix874

对于第一个问题：
如果让内部用户不能做 tracert，那么可以反向思考
内网 tracert，需要得到外网的 ICMP  ...
platinum 发表于 2010-08-09 14:56

很抱歉白金版主，还是关于这个tracert，以及iptables状态检测机制的问题。

我的内网如果是通过iptables做NAT上网的，如下：
iptables -A POSTROUTING -s 172.16.11.0/24 -o eth0 -j MASQUERADE

根据您之前说的，当做NAT的时候，实际上iptables就启用状态检测机制了。
那我从172.16.11.100这个主机开始做tracert www.baidu.com
那么发送出去的数据包，到达某个设备的时候，因为TTL=0，这个设备会返回一个ICMP time exceeded，这个ICMP包到达防火墙后，是会匹配状态表，还是会重新进入FORWARD链再做检查？

platinum

回来的 ICMP time exceeded 会经过各个表的各个链，其中也包括你提到的 filter 的 FORWARD
这个 ICMP 数据属于之前探测的 RELATED 状态

76862157

白金大哥：
raw 表工作于最前端，在 conntrack 之前
      可以明确对某些数据不进行连接追踪
这个怎么实现（iptables怎么写？）

另外如果是转发数据，在raw表允许后的包，是直接出去了吗？还是还要经过FORWARD、POSTROUTING？

platinum

例子：
iptables -t raw -A PREROUTING -s x.x.x.x -j NOTRACK

每个链内的 TARGET 除 DROP 以外，其余均只能保证数据不在该链中继续匹配，但还是要继续往其他表、链走的

76862157

回复 56# platinum


    老大回复的真快，明白了，谢谢

platinum

回复  platinum


    老大回复的真快，明白了，谢谢
76862157 发表于 2010-08-12 13:22

呵呵，只不过是恰好在你发完之后看到了
不客气

chinaunix874

回来的 ICMP time exceeded 会经过各个表的各个链，其中也包括你提到的 filter 的 FORWARD
这个 ICMP 数据 ...
platinum 发表于 2010-08-12 12:23

多谢白金。
看来iptables的状态检测机制，还是和硬件的设备有所不同。

另外，搭车再帮我看看下面这个问题：

http://linux.chinaunix.net/bbs/thread-1167759-1-5.html

我用个清楚点的例子问问吧。
比如我是一个学校的网管，学校有两条线路，一条是chinanet的，一条是cernet的。通过cernet访问一些特定的网站，是免费的（有一个ip地址列表）
我可以配置如下策略：
1、增加若干条通过cernet访问免费网段的静态路由
2、默认路由配置位chinanet
这样就解决了用户访问外网的问题。

但是引入了一个新问题，就是如果在chinanet的接口上做了地址映射，将一些地址映射到内部，这样，如果从免费网段的用户访问chinanet做过映射的那些地址，数据包返回时，就会通过cernet线路返回，从而导致问题。
请问有什么办法能够写一个策略路由，让这类返回包还通过chinanet返回呢？

platinum

在 http://linux.chinaunix.net/bbs/thread-1167759-1-5.html 中给你回复了
这个问题在那里讨论