CU线上连载讨论一 Linux iptables使用问题和内核Netfilter流程

andyzhuangyy

能具体说说你是怎么测试的吗
platinum 发表于 2011-08-09 18:30

    我的测试是这样的。可以参考我发的这个帖子http://bbs.chinaunix.net/thread-3577574-1-1.html
是由于我在forward里面更改了tcp的序列号和确认序列号，导致在后续做snat的时候检查连接跟踪的时候出错了是吗？如果一个不符合规定的序列号出现了，就不做snat了是吗？

所以如果我想在做了snat的主机上加入我自己的hook，必须要保证在iptable本身做snat之前，我就要把我更改过的（比如seq，ack_seq）改回成原来正确的值，是这样吗？

platinum

NAT 前有个 conntrack 机制，其中有个负责分析 TCP 序号的部分
如果你的序号错误，那肯定不会被处理

nu_teller

回复 30# platinum


    不要认为 iptables -t mangle -F 这样的语句就可以清空 mangle 表规则，它的副作用是载入了 mangle hook（nat、raw、filter 表同理）
白版是否能够详解下？

platinum

回复  platinum


    不要认为 iptables -t mangle -F 这样的语句就可以清空 mangle 表规则，它的副作 ...
nu_teller 发表于 2011-08-13 14:36

见截图

swc129110

看不懂啊  ！

linux-pluto

回复 104# platinum


    白金版主，小弟有一个地方不明白，不知道我的理解对不对，就是有关于-j 动作以后，是否继续匹配下去的问题，按您前面的说法，如果匹配了ACCEPT或者DROP之类后，数据包就不会继续匹配下面的规则，而对于mark这类匹配完后，还会继续匹配下面的规则，我这样理解对吗？

platinum

回复  platinum


    白金版主，小弟有一个地方不明白，不知道我的理解对不对，就是有关于-j 动作以后 ...
linux-pluto 发表于 2011-08-25 09:57

是的，正确
但是，仅限于“当前链”里

chu78

我现在还是个学生，楼主讨论的话题我都不懂，嘿嘿，因为我才学习linux不到两个月，而且是自学，所以多多少少对linux还是了解点点的，但看到楼主要奖励这本书，我好想得到啊，但你们的话题我真的不能讨论了，还是希望得到大家的帮助，想知道如何去很好的学习linux。还请大家多多帮助啊。

chu78

哎！对了！还有一个问题现在学习QT是否过时了？学了它以后的工作机会多不？

chu78

如果您经常有问题需要问

如果您的问题经常无人解答

如果您的提问贴里经常有人和您叫板

那么

您最适合阅读一下《提问的智慧》这篇文章

如果您没有足够时间来阅读那些冗长的文字

那么这幅图可能最适合您了