iptables规则心得

unigium

如何解释下面的话？
先准备一个telnet连接，再运行连接跟踪模块，然后装入上面的规则，最后，试着用telnet client发送一些数据。连接跟踪代码会认为这个连接是非法的，因为在此之前，它没有看到任何方向有包发出，更为严重的是现在连接上有了未设置SYN的包，因为刚才由telnet client发出的包肯定不是这个连接的第一个包。因此，上面的规则就起作用了，也就是说，这个包被无情地扔掉，从而连接就会中断。

platinum

怎么说呢，这主要和 conntrack 机制有关
我明白他的意思，但是我说不出来

unigium

原帖由 "platinum" 发表：
和此规则先生效还是后生效无关
如果你在系统里面写了这个策略，并且你的系统用于 NAT，那么你会发现生效后仍会匹配到很多包，都是非法包

我想这是两个问题，这个问题也可以使规则匹配，我不知道下面模拟的环境对不对
1、内网的一台机器telnet到防火墙
2、启动防火墙的ppp时起用规则
是不是上面的telnet会中断
如果把conntrack和nat直接编译进iptables，就不会出现上面的情况。
不知道理解的对不对
iptables B.2 是分别对内网连接到防火墙，和外网连接到防火墙做的阐述

platinum

iptables 只不过是一个 userspace，而 conntrack 和 nat 是做为 kernel 里面的一个 module 或就在 kernel 里面的，是 kernelspace 部分
如果编译进内核，你可理解为“启动以后我就 modprobe 了一些东西，而且一直没再 rmmod 过”

unigium

我以为他们两个是iptables的模块，原来是内核的。那么兄弟，我们讨论的问题，以及我模拟的环境还有什么出入么？

platinum

是的，iptables 其实只不过是一个工具而已，他调用的是 kernel 里面的 netfilter 机制，而 netfilter 又负责动态载入一些 module
service iptables stop
lsmod
iptables -vnL
lsmod
iptables -t nat -vnL
lsmod
iptables -t mangle -vnL
lsmod

每一次 lsmod 都能看到有新的 module 被 load

具体与莫逆环境有什么出入，我也说不好，但我感觉不大对，但我又找不到能反驳你的论据。。。