下载安卓APP箭头
箭头给我发消息

客服QQ:3315713922

Linux系统运维的防火墙(三)

作者:蜗牛     来源: http://www.kokojia.com点击数:763发布时间: 2018-04-10 15:00:09

标签: 网络工程师下午网络工程师下午真题网络工程师真题

  因为IANA定义这些网络管理(还有其他的)为私有有的,只能用于LAN内部,MASQUERADE的作用和POSTROUTING完全一样,只是计算机的负荷稍多一点。因为对每个匹配的包,MASQUERADE都要查找可用的IP地址,而不像SNAT用的IP地址是配置好的。

Linux系统运维的防火墙(三)_网络工程师下午_网络工程师下午真题_网络工程师真题_课课家

  当然,这也有好处。即可以使用通过PPP、PPPOE和SLIP等号得到的地址,这些地址可以由ISP的DHCP随机分配这个表主要用来Mangle数据包,用户可以改变不同的包及包头的内容,比如TTL、TOS。

  Mangi或MARK。注意,MARK并没有真正地改动数据包,它只是在内核空间为包设了一个标记,防火墙内的其他规则或程序(如te)可以使用这种标记对包进行过滤或高级路由。这个表有5个内建的链,即PREROUTING、POSTROUTING、OUTPUT、INPUT和FORWARIPREROUTING在包进入防火墙之后且路由判断之前改变包:POSTROUTING在所有路由判断之后改变包;OUTPUT在确定包的目的之前更改数据包:INPUT在包被路由到本地之后,但在用户空间的程序看到它之前改变包。注意:Mangle表不能做任何NAT,它只是改变数包的TL、TOS或MARK,而不是其源目的地址。

  NAT是在NAT表中操的,Mangle表中仅有的操作为TOS、TTL和MARKTOS操作用来设置或改变数据包的服务类型域,常用来设置网络上的数据包如何被路由等策略。这个操作并不完善,它在Internet上还不能使用,而且很多路由器不会注意到这个域值。

  即不要设置发往nternet的包;除非打算依靠TOS来路由,比如用iproute2TTL操作用来改变数据包的生存时间域,可以让所有数据包只有一个特殊的TTL。其存在有一个很好的理由,即可以款骗一些ISP为什么要欺骗?

  因为它们不愿意让用户共享一个连接,那些ISP会查找一台单独的计算机是否使用不同的TTL,并且以此作为判断连接是否被共享的标志。MARK用来为包设置特殊的标记,iproute2能识别这些标记并根据不同的标记(或没有标记)决定不同的路由。使用这些标记可以执行带宽限制和基于请求的分类。命令中必要的组成部分command是iptables命令的最重要部分,它告诉iptables命令要执行的操作,例例如,插入规则、将规則添加到链的末尾或除规则。

  小编结语:其实,我们在使用tables时,如果没有输入必需的参数而按了回车键,那么它就会给出一些提示信息,提示需要的参数等,iptables的选项-v用来显示iptables的版本,h给出语法的简短说明。

赞(18)
踩(0)
分享到:
华为认证网络工程师 HCIE直播课视频教程