[bingo] Iptables笔记1-introduce&conntrack

bingocn

[bingo] Iptables笔记1-introduce&conntrack
来源：
http://iptables-tutorial.frozentux.net/
Iptables 指南1.1.9
1. 表：
   mangle: 改变包的(TOS/TTL/MARK)属性。建议不加任何过滤。
   nat: 用于转换包的源地址和目标地址。流的第一个包会进行匹配，后面的包会做按第一个包一样处理。包括DNAT/SNAT/MASQUERADE。
   filter: 用于过滤，对包的抉择ACCEPT或者DROP。
[bingo] Iptables笔记1-introduce&conntrack
来源：
http://iptables-tutorial.frozentux.net/
Iptables 指南1.1.9
1. 表：
   mangle: 改变包的(TOS/TTL/MARK)属性。建议不加任何过滤。
   nat: 用于转换包的源地址和目标地址。流的第一个包会进行匹配，后面的包会做按第一个包一样处理。包括DNAT/SNAT/MASQUERADE。
   filter: 用于过滤，对包的抉择ACCEPT或者DROP。
2. 链：
   PREROUTING: 所有进入的包最先进入的链
   POSTROUTING: 所有发送包最后通过的链
   INPUT: 进入本地的链
   OUTPUT: 本地发送出去的链
   FORWARD: 转发的链，不进入本地
   通常有三种状态：
   a) 进入本地的包：NETWORK-->(mangle)PREROUTING-->(nat)PREROUTING-->-->(mangle)INPUT-->(filter)INPUT-->
   b) 从本地发出的包：-->(mangle)OUTPUT-->(nat)OUTPUT-->(filter)OUTPUT-->(mangle)POSTROUTING-->(nat)POSTROUTING-->NETWORK
   c) 路由的包：NETWORK-->(mangle)PREROUTING-->(nat)PREROUTING-->-->(mangle)FORWARD-->(filter)FORWARD-->(mangle)POSTROUTING-->(nat)POSTROUTING-->NETWORK
3. 状态防火墙：所有状态的改变和计算都是在nat表中的PREROUTING链和OUTPUT链里完成的。
4. 状态记录表：/proc/net/ip_conntrack
   [UNREPLIED]连接还没有收到回应
   [ASSURED]两个方向已无流量
   当记录表慢的时候，没有[ASSURED]标记的记录将被删除。
   记录条数目可以设置：/proc/sys/net/ipv4/ip_conntrack_max
5. 数据包的四种状态：
   NEW: conntrack看到的某个连接的第一个包，并没有收到对方的应答。
   ESTABLISHED: 数据已经在两个方向进行了传输。有应答就算，比如ICMP的错误返回包。
   RELATED: 当和ESTABLISHED状态又发生新连接时候。比如ftp-data和ftp-control。
   INVALID: 无效，通常DROP。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/2677/showart_23386.html