请问iptables中raw表的作用

on-fire

请问iptables中raw表的作用，例如主要控制些什么，为何只能够在PREROUTING和OUTPUT这两条链中起作用。

[ 本帖最后由 on-fire 于 2006-6-29 22:42 编辑 ]

kenduest

原帖由 on-fire 于 2006-6-29 22:39 发表
请问iptables中raw表的作用，例如主要控制些什么，为何只能够在PREROUTING和OUTPUT这两条链中起作用。

man iptables 内不是有说很清楚吗？

1. 
   
2.   raw:
   
3.                   This  table  is  used mainly for configuring exemptions from
   
4.                   connection tracking in combination with the NOTRACK  target.
   
5.                   It registers at the netfilter hooks with higher priority and
   
6.                   is thus called before ip_conntrack, or any other IP  tables.
   
7.                   It  provides  the following built-in chains: PREROUTING (for
   
8.                   packets arriving via  any  network  interface)  OUTPUT  (for
   
9.                   packets generated by local processes)
   
10. 
    

复制代码

on-fire

原帖由 kenduest 于 2006-6-29 23:06 发表


man iptables 内不是有说很清楚吗？

[code]
  raw:
                  This  table  is  used mainly for configuring exemptions from
                  connection tracking in combination with th ...

我也man iptables中看过，但我的E文水平实在太糟糕，看不明白它的意思，请告诉我中文意思好吗？

platinum

原帖由 on-fire 于 2006-6-29 23:35 发表

我也man iptables中看过，但我的E文水平实在太糟糕，看不明白它的意思，请告诉我中文意思好吗？

哪句话或者哪个单词看不明白？说出来帮你翻译一下
若整篇都不明白，我看暂时还是没有给你翻的必要了。。。

on-fire

platinum：我是你的学生，我是从您的教程中学习iptables的，我知道iptables中有filter、mangle、nat这三张比较传统的表，还有PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING这几条链，但在您的教程中没有提及这个表，在下面那段英文中我不太明白的单词是exemptions这个单词，如果可以的话，大概告诉我下面这段英文的意思，感激不尽。
raw:
                  This  table  is  used mainly for configuring exemptions from
                  connection tracking in combination with the NOTRACK  target.
                  It registers at the netfilter hooks with higher priority and
                  is thus called before ip_conntrack, or any other IP  tables.
                  It  provides  the following built-in chains: PREROUTING (for
                  packets arriving via  any  network  interface)  OUTPUT  (for
                  packets generated by local processes)

[ 本帖最后由 on-fire 于 2006-6-30 00:02 编辑 ]

platinum

这个表拥有的动作是 NOTRACK，它的优先级高于其他表，也高于连接追踪 conntrack
若想要一个数据包不被系统追踪，可以用类似下面的方法

1. 
   
2. iptables -t raw -A PREROUTING -p tcp --dport 6667 -j NOTRACK
   

复制代码

这个表默认系统是没有的，一般也用不到，可以不理会

on-fire

platinum：多谢您的解释。但有一点不明白的，跟踪一个数据包目的是要知道它的去向和作用，为何辛辛苦苦建立的跟踪机制，又要搞一个可以不跟踪的例外出来呢？具体的作用是什么？减轻系统负担？

kenduest

原帖由 on-fire 于 2006-6-30 08:30 发表
platinum：多谢您的解释。但有一点不明白的，跟踪一个数据包目的是要知道它的去向和作用，为何辛辛苦苦建立的跟踪机制，又要搞一个可以不跟踪的例外出来呢？具体的作用是什么？减轻系统负担？

我单纯猜测一下。

netfilter/iptables 内有一堆 tracking 的 module，像是 ip_conntrack_ftp/ip_conntrack_irc/ip_conntrack_pptp 等 helper，我猜大概是希望在某些情况下希望能够针对特定的封包项目设定不提供这些 tracking 机制吧。

==

platinum

原帖由 kenduest 于 2006-6-30 08:42 发表


我单纯猜测一下。

netfilter/iptables 内有一堆 tracking 的 module，像是 ip_conntrack_ftp/ip_conntrack_irc/ip_conntrack_pptp 等 helper，我猜大概是希望在某些情况下希望能够针对特定的封包项目设定不 ...

正解，但不仅如此，比如 nat 等，凡是启用了 ip_conntrack 模块后，所有信息都会被自动追踪
raw 正是不要符合某些条件的封包被追踪而设立的，也许是为了降低负载，也许是为了其他一些需求

on-fire

哦，谢谢。