在表中,则不检查任何链,包允许通过。
7. 第九行打开IP伪装能力,从eth0出去的包被重写源地址后伪装出去,是源地址SNAT的特例。这里要注意的是 -o eth0, 而不是 -i eth0,在iptables中,从一个接口出去的包用 -o,进来的包用 -i
8. 第十行说明如果这台防火墙也是WEB服务器,则允许外部的新建立的请求且目标端口为80的包可以进入
9. 第十一行对不是目标端口是80的所求TCP新的连接请求包,拒绝进入。
注: NAT 与 FORWARD 链的关系
a. 不管执行任何NAT,对包过滤规则看到的源和目的地址是真实的源和目的地址,尽管在执行IP伪装(DNAT)时 会对包进行地址重写,这一点你可以从文件/proc/net/ip_conntrack中看到。
b. 如果我们没有利用iptables的有状态的能力,象上面的情况,要是允许网段10.0.0.0/24中的机器可以IP伪装的话,我们不得不加上一条转发规则 iptables -AFORWARD -d 10.0.0.0/24 -j ACCEPT,否则对伪装包的回复不会通过转发链回复给内部机器,因为回复包需要通过转发链。
注: 如何证明仅仅一个规则链被应用了?
<页码:[1] [2] [3] [4] [5] [6] [7] 第6页、共7页 |
