标签归档文章: iptables

关于nf_conntrack以及和ip_conntrack的区别

网上关于ip_conntrack的介绍并不少。 Linux内核的ip_conntrack模块会记录每一个tcp协议的estiablished connection记录。关且一个默认的timeout值是432000秒(五天时间)。每个ip_conntrack记录约会占用292Bytes的内存,所以系统所能记录的ip_conntrack也是有限的,如果超过了这个限度,就会出现内核级错误“ip_conntrack: table full, dropping packet”,其结果就是无法再有任何的网络连接了。
更多…

一张图让你领会iptables防火墙

下面这张文字图,将会让你很快领悟iptables防火墙。
当网卡接收到数据包时,就先来到Prerouting 阶段。这时候我们通常会用到nat(dst) ,来改变目标地址。之所以在routing之前,做dnat就不废话了, 因为routing就是根据目标地址进行routing的,所以我们改变dst(目标地址)基本都是为了让其路由到相应的网络上。 当然我们也可以什么都不做。下一阶段,这时候就来到了routing阶段。 routing会根据目标地址来看, 这个数据包是给我机器本身的,还是要转发到其他的机器上的。 判断的依据很简单,就是根据路由表了。 这时候就可能会有2中分支了。
更多…