我们先来看一个以本地为目的的数据包,他要经过以下步骤才能到达要接收他的程式:
下文中有个词mangle,我实在没想到什么合适的词来表达这个意思,只因为我的英语太差!我只能把我理解的写出来。这个词表达的意思是,会对数据包的一些传输特性进行修改,在mangle表中允许的操作是 TOS、TTL、MARK。也就是说,今后只要我们见到这个词能理解他的作用就行了。
Table 3-1. 以本地为目标(就是我们自己的机子了)的包
| Step(步骤) | Table(表) | Chain(链) | Comment(注释) |
|---|---|---|---|
| 1 | 在线路上传输(比如,Internet) | ||
| 2 | 进入接口 (比如, eth0) | ||
| 3 | mangle | PREROUTING | 这个链用来mangle数据包,比如改变TOS等 |
| 4 | nat | PREROUTING | 这个链主要用来做DNAT。不要在这个链做过虑操作,因为某些情况下包会溜过去。 |
| 5 | 路由判断,比如,包是发往本地的,还是要转发的。 | ||
| 6 | mangle | INPUT | 在路由之后,被送往本地程式之前,mangle数据包。 |
| 7 | filter | INPUT | 任何以本地为目的的包都要经过这个链,不管他们从哪儿来,对这些包的过滤条件就设在这里。 |
| 8 | 到达本地程式了(比如,服务程式或客户程式) |
注意,相比以前(译者注:就是指ipchain)现在数据包是由INPUT链过,而不是FORWARD链。这样更符合逻辑。刚看上去可能不太好理解,但仔细想想就会恍然大悟的。
现在我们来看看源地址是本地器的包要经过哪些步骤:
Table 3-2. 以本地为源的包
| Step | Table | Chain | Comment | ||||
|---|---|---|---|---|---|---|---|
| 1 | 本地程式(比如,服务程式或客户程式) | ||||||
| 2 | 路由判断,要使用源地址,外出接口,更有其他一些信息。 | ||||||
| 3 | mangle | OUTPUT | 在这儿能够mangle包。建议不要在这儿做过滤,可能有副作用哦。 | ||||
| 4 | nat | OUTPUT | 这个链对从防火墙本身发出的包进行DNAT操作。 | ||||
| 5 | filter | OUTPUT | 对本地发出的包过滤。 | ||||
| 6 | mangle | POSTROUTING | 这条链主要在包DNAT之后(译者注:作者把这一次DNAT称作实际的路由,虽然在前面有一次路由。对于本地的包,一旦他被生成,就必须经过路由代码的处理,但这个包具体到哪儿去,要由NAT代码处理之后才能确定。所以把这称作实际的路由。),离开本地之前,对包 mangle。有两种包会经过这里,防火墙所在机子本身产生的包,更有被转发的包。 | ||||
| 7 | |||||||
版权所有 西部数码(www.west263.com) CopyRight (c) 2002~2007 west263.com all right reserved. 公司地址:四川成都市万和路90号天象大厦4楼 邮编:610031 电话总机:028-86263408 86263960 86264018 86267838 86262244 86263408 售前咨询:总机转201 202 203 204 205 206 207 208 售后服务:总机转211 212 213 214 217 218 晚上0点以后拔分机225 |
| |||
| 财务咨询:总机转224
223 传真:028-86264041 财务QQ: 售前咨询QQ: 售后服务QQ:  在线咨询《中华人民共和国增值电信业务经营许可证》编号:川B2-20030065号 | ||||
