我们知道，iptables一般只过滤网络层和传输层的内容，那-mac -source-mac匹配模块的原理是什么?问了很多人，都说不清楚，由于对网络协议栈内部的东西没有时间研究，不知道哥德巴赫斑竹和独孤前辈能不能给出解释啊？即mac模块为什么只能匹配源地址，iptables的mac模块是如何获得mac地址而进行匹配的？

1、原理 netfilter是Linux 核心中一个通用架构，它提供了一系列的"表"(tables)，每个表由若干"链"(chains)组成，而每条链中可以有一条或数条规则(rule)组成。我们可以这样来理解，netfilter是表的容器，表是链的容器，而链又是规则的容器(如图一所示)。 系统缺省的表为"filter"，该表中包含了INPUT、FORWARD和OUTPUT 3个链。每一条链中可以有一条或数条规则，每一条规则都是这样定义的“如果数据包头符合这样的条件，就这样处理这个...

各位大哥，请教一个原理问题： 在做SNAT的时候，数据包的源地址被改写之后发送到对方，对方在回应的时候，把这个地址当做目的地址。我不明白iptables在收到对方回应包的时候，怎么把目的地址转换成我的内网地址的？ 假设SNAT把内网192.168.1.0/24的所有包，源地址都转换成了1.1.1.1，收到对方回应包的时候，iptables怎么判断这个包该给192.168.0.1还是192.168.0.2？ 之前问了一个高人，他说是用源端口号来区分。那么在一个非常复...

我现在对iptables的命令已经了解了,我就是想问一下到底他的工作原理是怎么样的,还有就是iptables中的链和表的关系到底是怎样的,能不能举些实例讲讲,谢谢高手!

我现在对iptables的命令已经了解了,我就是想问一下到底他的工作原理是怎么样的,还有就是iptables中的链和表的关系到底是怎样的,能不能举些实例讲讲,谢谢高手!

iptables NAT的基本工作原理 (1) IP地址转换过滤器(CONFIG_IP_NF_NAT)用来实现各种IP续接. 当主机之间不能直接进行IP寻径时，通过双方都能寻径的代理主机的IP地址转换器进行相互翻译，形成一个透明的IP回路。常见的地址转换类型有IP伪装(IP MASQUERADE), 端口转发(PORT FORWARDING)，IP重定向(IP REDIRECT). (2) IP伪装可以使内网中的主机共享网关主机在外网中的地址来与外网主机通信, 当内网主机的IP包要传送到外网主机时, 网关...

iptables NAT的基本工作原理 (1) IP地址转换过滤器(CONFIG_IP_NF_NAT)用来实现各种IP续接. 当主机之间不能直接进行IP寻径时，通过双方都能寻径的代理主机的IP地址转换器进行相互翻译，形成一个透明的IP回路。常见的地址转换类型有IP伪装(IP MASQUERADE), 端口转发(PORT FORWARDING)，IP重定向(IP REDIRECT). (2) IP伪装可以使内网中的主机共享网关主机在外网中的地址来与外网主机通信, 当内网主机的IP包要传送到外网主机时, 网关...

iptables的工作原理和基础架构 iptables 被分为两部分，一部分被称为核心空间，另一部分称为用户空间，在核心空间，iptables从底层实现了数据包过滤的各种功能，比如NAT、状态检测以及高级的数据包的匹配策略等，在用户空间，iptables为用户提供了控制核心空间工作状态的命令集。无论如何，一个数据包都会经过下图所示的路径，并在其中的任何一条路径中被处理。 首先，当一个包进来的时候，也就是从以太网卡进入防火墙，内核首先根...

以前发现使用iptables时，系统所用的模块都会自动加载。比如说使用iptables -t nat -L 系统会自动加载ip_tables，ip_nat, iptables_nat等模块。看了源码（2.6.14），终于找到了原因。 当使用iptables进行配置的时候，内核会调用相应的match， 在net/ipv4/netfilter/ip_tables.c中调用了try_then_request_module（） 702 static inline int 703 check_match(struct ipt_entry_match *m, 704 const char *name, 705 ...

本帖最后由 softstar8028 于 2010-12-10 17:05 编辑 linux操作系统是 Red Hat Enterprise Linux Server release 5.3 (Tikanga) FTP安装在windows2003 server上，使用的是Serv—U 9.4.0.0 ftp端口默认是21 iptables设置如下： # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [...