《iptables 高级使用研讨》PPT 及相关源代码（讲座视频新鲜出炉！！！）

allegrox

有没有录音录像啊？

platinum

有没有录音录像啊？
allegrox 发表于 2010-08-13 16:22

有录像，CU 好像在弄，不过好像挺麻烦，要采集要转格式什么的，估计可能还得过段时间才能提供了

ubuntuer

有录像，CU 好像在弄，不过好像挺麻烦，要采集要转格式什么的，估计可能还得过段时间才能提供了
platinum 发表于 2010-08-13 16:26

   好久不来,一来就看到白金兄的 好文章啊

platinum

好久不来,一来就看到白金兄的 好文章啊
ubuntuer 发表于 2010-08-14 10:59

ubuntuer 兄过奖了，内核问题还要多向你学习！

chenyimo

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -m recent --name SSH --update --seconds 10 --hitcount 4 --rsource -j DROP

看了PPT,版主能否解释下这条规则的想法，为何要反复调用，不是很明白，非常感谢！

platinum

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -m rec ...
chenyimo 发表于 2010-08-17 10:32

原本是 2 条 iptables 语句，我合二为一了
第一次调用 recent 模块是为了标记
第二次调用 recent 模块是为了匹配

fuleru

看了白金兄中的ppt讲义有“-j 与 -g 的区别”这一部份内容，我想询问下列的情况：



1）自定义的规则：

iptables -t nat -N 00005_PREROUTING
iptables -t nat -F 00005_PREROUTING
iptables -t nat -A PREROUTING -j 00005_PREROUTING

iptables -t nat -N 00005_POSTROUTING
iptables -t nat -F 00005_POSTROUTING
iptables -t nat -A POSTROUTING -j 00005_POSTROUTING

echo "1" >/proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -t nat -A 00005_PREROUTING -j DNAT -d 192.168.4.249 -p tcp --dport 9999 --to 10.8.0.6:80
iptables -t nat -A 00005_POSTROUTING -j SNAT -d 10.8.0.6 -p tcp --dport 80 --to 10.8.0.1

2)系统的规则：

echo "1" >/proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -t nat -A PREROUTING -j DNAT -d 192.168.4.249 -p tcp --dport 9999 --to 10.8.0.6:80
iptables -t nat -A POSTROUTING -j SNAT -d 10.8.0.6 -p tcp --dport 80 --to 10.8.0.1


1）发现端口转发不成功，2）可以转发成功。请问为什么会这样，我觉得1)与2)的效果上是一样的。

难道这种情况是使用-g的？

platinum

1）自定义的规则：

iptables -t nat -N 00005_PREROUTING
iptables -t nat -F 00005_PREROUTING
iptables -t nat -A PREROUTING -j 00005_PREROUTING

iptables -t nat -N 00005_POSTROUTING
iptables -t nat -F 00005_POSTROUTING
iptables -t nat -A POSTROUTING -j 00005_POSTROUTING

echo "1" >/proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -t nat -A 00005_PREROUTING -j DNAT -d 192.168.4.249 -p tcp --dport 9999 --to 10.8.0.6:80
iptables -t nat -A 00005_POSTROUTING -j SNAT -d 10.8.0.6 -p tcp --dport 80 --to 10.8.0.1

如果你是这样做的，当运行到红色代码的时候，蓝色的设置不是没用了吗？

fuleru

1)跟2）是相互独立的。

platinum

1)跟2）是相互独立的。
fuleru 发表于 2010-09-05 12:32

你说的和我说的是两码事
我贴出来的就是你写的 1 的全部分，没包含 2，其中蓝色和红色冲突

你再仔细看看