分类: LINUX
2013-01-31 12:16:30
以本地为目的的包 数据包 ----> mangle prerouting -------> nat prerouting -------> mangle input -------> filter input
以本地为源的包 数据包 -------> mangle output -------> nat output -------> filter output -------> mangle postrouting -------> nat postrouting
经过本地转发的包 数据包 -------> mangle prerouting -------> nat prerouting -------> mangle forward -------> filter forward -------> mangle postrouting -------> nat postrouting
drop 和 reject 区别在与 drop 直接丢弃数据包 ,reject 在丢弃的数据包的同时给发送者一个错误提示
mangle 表主要用来改变数据包的特性,如TOS,TTL等
nat 表主要用来地址转换,
filter 表主要用来过滤感兴趣的数据包
连接状态,state
可以用-m state --state NEW,ESTABLISHED,RELATED,INVALID 来控制
NEW 表示新发出一个包
ESTABLISHED 表示回应的包
RELATED 表示除主连接以外的连接,比如FTP-data,
INVALID 表示没有连接状态或者不能识别的连接状态,一般丢弃
