iptable工作在osi网络层和数据链路层,,例如
,iptables - t nat - PREROUTING我eth2 - p tcp——dport 80 - j DNAT,——到目的地192.168.1.3:8080
解析:
<李>- t, nat,,操作表
<李>——PERROUTING,,通过添加以下规则其PREROUTING链
<李>我,eth0,,,匹配pactets进来> <李>
PREROUTING
<李>输入<李>向前
<李>
POSTROUTING)
<李>输出<李>
表,有三个内置表
- <李>
,用于设置政策类型的交通允许进入,通过计算机的。除非你显式地引用不同的表,iptables操作> <李>
接受,让数据包通过下一阶段的处理停止遍历,当前连锁开始
<李>下降<李>
QUEQU发送数据包ro用户空间。看到更多信息libipq联机帮助页
<李>从一个用户定义的规则链,中断处理链,和简历遍历调用链后的规则> <李>
信息包过滤
<李>会计,使用字节,包与包计数器assoiated比赛标准moitor网络流量的规模。李李
<>连接跟踪
<李>包矫直
<李>网络地址转换(NAT)
<李>伪装成<李>
端口转发
<李>加载平衡,,负载平衡涉及分配连接跨一组服务器,这样能达到更高的总吞吐量。方法来实现这一目的地址选择循环的方式从一个可能的目的地列表
配置iptables,,参考下,泛型和红Hat-specific信息
持久规则,
chkconfig——列表iptables
<李>chkconfig——345级iptables> <李>
/etc/sysct1。相依,,,包含在/proc/sys目录中设置配置,在启动时应用。李李
<>/proc/sys/net/ipv4/ip_conntrack_max,,,,连接跟踪表的大小,控制kernel.default价值计算,基于> <李>
建立,连接已经看到数据包在两个方向。李李
<>无效,包不属于任何跟踪联系。李李
<>新,包是开始一个新的连接或连接的一部分,还没有看到数据包在两个方向上。李李
<>相关,包是开始一个新的连接,但新的连接与一个现有的连接(如数据连接ftp传输
<李>@连接跟踪逻辑维护状态信息的三位
保证tcp连接显示UDP连接的tcp连接的设置已经完成,表明其看起来像一个UDP流到内核。李李
<>预期,显示连接预计
<李>SEEN_REPLY,表明数据包在两个方向上。
<李>ipables连接跟踪逻辑允许插件模块
<李>会计<李>
NAT
NAT辅助模块
- <李>
ip_nat_amanda,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,阿曼达备份协议(需要CONFIG_IP_NFNAT_AMANDA内核配置)
<李>ip_nat_ftp,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,文件传输协议(需要CONFIG_IP_NF_NAT_FTP内核配置)
<李>ip_nat_snmp_basic,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,简单网络管理协议(需要CONFIG_IP_NF_NAT_SNMP_BASIC内核conifig)
<李>ip_nat_tftp, t,,,,,,,,,,,,,,,null
