当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 2 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : 有些链条为何没有没有表?
帖子发表于 : 2017-11-15 8:50 

注册: 2016-07-08 17:43
帖子: 88
系统: debian8
送出感谢: 12
接收感谢: 0 次
参见
http://www.zsythink.net/archives/1199

raw 表中的规则可以被哪些链使用:PREROUTING,OUTPUT
mangle 表中的规则可以被哪些链使用:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
nat 表中的规则可以被哪些链使用:PREROUTING,OUTPUT,POSTROUTING(centos7中还有INPUT,centos6中没有)
filter 表中的规则可以被哪些链使用:INPUT,FORWARD,OUTPUT

请问:
raw 中的规则为何不可以在链中使用: INPUT,FORWARD,POSTROUTING ?
nat 中的规则为何不可以在链中使用: FORWARD?
filter 中的规则为何不可以在链中使用: PREROUTING,POSTROUTING ?

请讲清道理。
prerouting 链中,增加一个filter 为何不可以?


页首
 用户资料  
 
2 楼 
 文章标题 : Re: 有些链条为何没有没有表?
帖子发表于 : 2017-11-15 20:20 
头像

注册: 2008-09-18 13:11
帖子: 2797
送出感谢: 1
接收感谢: 456
你先去搞清楚每个表和每个链是干什么用的。
比如raw表,存在的目的就是给数据包做标记,让其不被连接跟踪(connection tracking)系统管理。当然就必须在连接跟踪开始之前标记。对于发来的数据包,就是在PREROUTING的最开始;对于发出去的数据包,就是OUTPUT的最开始。
filter表就是为了过滤数据包,有INPUT,FORWARD,OUTPUT三个就已经能在入站转发出站全部三种情况下过滤了,还有那个必要在PREROUTING和POSTROUTING上用吗?
剩下一个nat当成作业,你自己去想,只要搞清楚nat和forward分别是干什么用的就很清楚了


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 2 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:ljyepp 和 4 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译