新手园地& & & 硬件问题Linux系统管理Linux网络问题Linux环境编程Linux桌面系统国产LinuxBSD& & & BSD文档中心AIX& & & 新手入门& & & AIX文档中心& & & 资源下载& & & Power高级应用& & & IBM存储AS400Solaris& & & Solaris文档中心HP-UX& & & HP文档中心SCO UNIX& & & SCO文档中心互操作专区IRIXTru64 UNIXMac OS X门户网站运维集群和高可用服务器应用监控和防护虚拟化技术架构设计行业应用和管理服务器及硬件技术& & & 服务器资源下载云计算& & & 云计算文档中心& & & 云计算业界& & & 云计算资源下载存储备份& & & 存储文档中心& & & 存储业界& & & 存储资源下载& & & Symantec技术交流区安全技术网络技术& & & 网络技术文档中心C/C++& & & GUI编程& & & Functional编程内核源码& & & 内核问题移动开发& & & 移动开发技术资料ShellPerlJava& & & Java文档中心PHP& & & php文档中心Python& & & Python文档中心RubyCPU与编译器嵌入式开发驱动开发Web开发VoIP开发技术MySQL& & & MySQL文档中心SybaseOraclePostgreSQLDB2Informix数据仓库与数据挖掘NoSQL技术IT业界新闻与评论IT职业生涯& & & 猎头招聘IT图书与评论& & & CU技术图书大系& & & Linux书友会二手交易下载共享Linux文档专区IT培训与认证& & & 培训交流& & & 认证培训清茶斋投资理财运动地带快乐数码摄影& & & 摄影器材& & & 摄影比赛专区IT爱车族旅游天下站务交流版主会议室博客SNS站务交流区CU活动专区& & & Power活动专区& & & 拍卖交流区频道交流区
空间积分0 信誉积分198 UID阅读权限10积分193帖子精华可用积分193 专家积分0 在线时间323 小时注册时间最后登录
白手起家, 积分 193, 距离下一级还需 7 积分
帖子主题精华可用积分193 专家积分0 在线时间323 小时注册时间最后登录
论坛徽章:0
iptables的redirect动作会不会覆盖数据包原来的目的地址和端口呢？
我的理解是会的。把原来的地址和端口改了，然后路由的时候就会转到新的地址上去。
比如经常用的squid透明代理，把原来发到某外网IP的80端口数据，目的地址改成本机，端口改成3128。这样路由的时候就不会发出去，而是发给本机。本机的http代理收到以后，从http头里面再读取出它本来要访问的网址，从本机发到目的地址去。
这样的话，这个redirect动作就只适用于除了ip包头有目的地址，数据包内部也包含了目的地址或网址的应用。否则代理收到包，包的目的地址已经改为本机，包里面也没有其它目的地址，叫这个代理把包发到哪里去呢？
但现在我看有些本地代理穿墙的软件，它们用的就是iptables的redirect。比如redsocks。它把本地的正常tcp包，通过iptables的redirect转到自己的本地监听端口上，再封装成socks数据包发给socks代理服务器。
这我就不太明白了，这个tcp被改了目的地址，本机把这个包封装了发到代理服务器上。代理服务器收到后，解开socks封装后，只能看到目的地址是一个本地地址吧。接下来该怎么发到本来的目的地址上去呢？
难道redirect没有改变原来的目的地址和端口？只是外面封装了一层ip包头？
iptables还有另外一个转发模块，tproxy。为什么不用这个呢？这个不会改变目的地址和端口，不是更好用一些吗？
哪位高手能够指教一下，谢谢！
&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp
空间积分0 信誉积分198 UID阅读权限10积分193帖子精华可用积分193 专家积分0 在线时间323 小时注册时间最后登录
白手起家, 积分 193, 距离下一级还需 7 积分
帖子主题精华可用积分193 专家积分0 在线时间323 小时注册时间最后登录
论坛徽章:0
搜资料好累啊。
在这个页面最下面一段找到这几句。
So, to sum it up, you probably don't want to use TPROXY instead of
REDIRECT. (Especially if you redirect TCP traffic only, where the
ip_conntrack provides a getsockopt() to get the original destination
意思是说REDIRECT使用了ip_conntrack模块，可以通过函数接口获取原来目的地址。
看来REDIRECT的确会更改目的地址，监听程序收到的包是没有原目的地址的。要想知道原来的目的地址怎么办呢？可以通过调用ip_conntrack的函数获取，原目的地址在内存中还是保留在了socket buffer里。但要通过编程去获取。
关于tproxy模块，它的效率比REDIRECT低。它没用使用连接状态，即ip_conntrack。它对每一个包都作标记。而REDIRECt只处理第一个包，以后的包只要状态表里能匹配到就直接放过了。
空间积分0 信誉积分563 UID9471937阅读权限50积分2267帖子精华可用积分2267 专家积分20 在线时间566 小时注册时间最后登录
小富即安, 积分 2267, 距离下一级还需 2733 积分
帖子主题精华可用积分2267 专家积分20 在线时间566 小时注册时间最后登录
论坛徽章:2
难道redirect没有改变原来的目的地址和端口？只是外面封装了一层ip包头？
------------------------------------------------------------------
REDIRECT是改变了目的地址和端口号的，并在ip_conntrack表中留有转换记录，REDIRECT实际上也是一种特殊的NAT。并没有在外面封转一层IP包头。
细节决定成败！
空间积分0 信誉积分28 UID阅读权限10积分16帖子精华可用积分16 专家积分0 在线时间20 小时注册时间最后登录
白手起家, 积分 16, 距离下一级还需 184 积分
帖子主题精华可用积分16 专家积分0 在线时间20 小时注册时间最后登录
论坛徽章:0
谢谢楼主辛苦解答。。。正好碰到这问题，卡了一个星期了。。。　　centos安装默认有iptables信息过滤系统，目前需要配置使mysql能远程访问。
相关知识：
　　iptables相关
　　1、iptables服务 &/etc/init.d/iptables start|stop|restart|...
　　2、配置文件位置&/etc/sysconfig/iptables-config
　　3、策略文件位置 /etc/sysconfig/iptables (默认是不存在的，使用service ipatables save 可以保存当前策略)
　　4、查看规则 iptables -L (如果指定查看某一规则，如INPUT使用 iptables -L INPUT)
　　5、新建一个规则 iptables .... 如下图：（更具体的请参考：）
　　6、保存当前规则service iptables save (或/etc/init.d/iptables save或者 iptables-save & /etc/sysconfig/iptables&)
　　save是将规则追加到一个文件，主要是配合iptables-restore命令
　　7、恢复策略文件service iptables restore
mysql访问配置：
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT
service iptables save
service iptables restart
相关问题：
　　1、配置是遇到了/sbin/iptables和iptables，查了一下他们的区别
　　/bin里面一般是普通可执行程序,而/sbin里多为系统管理程序和服务程序　　s应该是system这个单词
　　[1] R　　[2] 　　[3]
　　[5] 　　[6]
&　　更多请参考：
阅读(...) 评论()请教有关iptables的限制IP访问的问题-红联Linux系统门户
您的位置：
&& 查看内容 － － －
请教有关iptables的限制IP访问的问题
abeetle发布于
&&字号: &&&&(网友评论&1&条)&
环境:redhat5企业版
以下是iptables的设置
-A RH-Firewall-1-INPUT -s 10.0.1.249 -d 10.0.2.233 -p tcp -m state --state NEW -m tcp --dport 8090 -j ACCEPT
其中-s 的IP 和-d 的IP 是什么意思,起什么作用的?
大侠有明白的吗?
作者: wngzhendong&发布日期:
你的@lt肯定e哩，因1，首先必以iptables命令_^；2，命令A后I接“”名，（你接的不是名，肯定不Γ
－s （后I接碜浴霸础钡牡仃n，一般事ip地n）；－d（后I接“目的”地n），不管事INPUT事output都需要用到@
O置，因檫@幼鍪狗阑更乐，更安全！
共有评论数 1/每页显示数 10
发表评论，与各位同人交流。回复请点击下方的我要评论按钮(游客可回复)，要发表贴子请点击
=>Linux教程下载？“”（请点击），Linux教程免费下载。
=>求助Linux问题？论坛有39版块，覆盖所有Linux技术层面。前往“”
=>怎样学Linux我的Linux网站，我的Linux之家！学Linux，从这里开始！
　|　　|　　|　　|　
&2014 红联 Powered by SupSite问个问题 IPTABLES到底有什么亮点_Unix系统_领测软件测试网
问个问题 IPTABLES到底有什么亮点
发表于：来源：作者：
可以匹配MAC不错但是功能看不出来有什么特点他能做的天网（很基本的FIREWALL）也能做到当然简单的SKYNET不能做NAT 是不是在性能上比较优越呢牵涉到内核NETFILTER 譬如包转发跟处理的能力跟稳定性上 水中风铃 回复于： 23:10:31 看看IPtables指南就
可以匹配MAC&不错&但是功能看不出来有什么特点&他能做的&天网（很基本的FIREWALL）也能做到&当然简单的SKYNET不能做NAT
是不是在性能上比较优越呢&牵涉到内核NETFILTER
譬如包转发跟处理的能力跟稳定性上
&水中风铃 回复于： 23:10:31
看看IPtables指南就会明白了，天网跟它没有什么可比性。功能非常强大，性能也很优异的，主要看管理员的水平
&speed_fj 回复于： 01:09:55
天网是比较不上台面的&我随便说说&只是iptables有什么别人做不到&或者做不好的特点马
譬如有个弄能&我只能做脚本定期查日志实现&&iptables有选项可以直接做到马&我资料没有查到
就是我可以定义在N分钟内跟我通讯的一个ip超过一定次数&就是建立socket&我就自己drop他
我估计还是要写sh&不过我写的那个不太好&老是会抽&不知道谁有好的马
&JohnBull 回复于： 02:00:38
根本原因是因为iptables（确切地说是netfilter）是内核态防火墙－－这就是它的先天优势－－天网这种用户态防火墙于之相比不过是儿童玩具。
当网络接口收到报文的时候通过IRQ通知驱动程序，操作系统内核通过驱动程序把报文从网卡的缓存拷贝到内核态内存，然后就不同了：内核态防火墙就地处理然后决定报文下一步的去向；而用户态防火墙不行，因为用户态代码不能直接访问内核态内存，报文必须还要从内核态内存拷贝到用户态内存中，等用户态进程等到它的时间片之后（最长可能要10毫秒）处理这个报文，决定下一步处理，然后基于同样原因，这个报文还要从用户态内存拷贝到核心态内存，然后才有可能发出。
明白了？用户态防火墙不是效率高地的问题，而是根本谈不上“效率”二字！
用户态防火墙给这种网络效率极差的系统作自我防护用还是可以的，但用在Linux/NetBSD这种网络性能比较强大的系统就太可笑了。
以上是性能方面，还有功能方面就更没法比了：netfilter支持基于状态检测的包过滤、支持完整的SNAT/DNAT、支持TCP/IP报头的篡改......
总之：以后再不要拿Linux的netfilter与什么天网放在一起比较了！
&speed_fj 回复于： 09:22:15
OK&学到了&谢谢
主要是效率上的不是一个档次&是吗
&hhui 回复于： 11:26:59
[quote:c83931bdb1="JohnBull"]根本原因是因为iptables（确切地说是netfilter）是内核态防火墙－－这就是它的先天优势－－天网这种用户态防火墙于之相比不过是儿童玩具。
当网络接口收到报文的时候通过IRQ通知驱动程序，操作系统内核通过驱动程..........[/quote:c83931bdb1]
看此回帖，对比之下，深感自己是门外汉呀，惭愧ING......
&speed_fj 回复于： 11:47:55
不愧是斑竹
&水中风铃 回复于： 12:31:43
[quote:beb5e012b9="JohnBull"]当网络接口收到报文的时候通过IRQ通知驱动程序，操作系统内核通过驱动程序把报文从网卡的缓存拷贝到内核态内存，然后就不同了：内核态防火墙就地处理然后决定报文下一步的去向；而用户态防火墙不行，因为用户态代码不能直接访问内核态内存，报文必须还要从内核态内存拷贝到用户态内存中，等用户态进程等到它的时间片之后（最长可能要10毫秒）处理这个报文，决定下一步处理，然后基于同样原因，这个报文还要从用户态内存拷贝到核心态内存，然后才有可能发出。&
明白了？用户态防火墙不是效率高地的问题，而是根本谈不上“效率”二字！&[/quote:beb5e012b9]
原来如此&:em02:&&:em02:&&:em02:&&:em02:&&:em02:
&speed_fj 回复于： 14:08:44
请问MS&ISA算是哪种的？
&sandsoft 回复于： 20:24:16
天网算什么？？会问这样的问题，我都在想要是iptables移植到windows下，windows下会强大很多！！！！！！！
&采风 回复于： 20:28:01
[quote:="sandsoft"]天网算什么？？会问这样的问题，我都在想要是iptables移植到windows下，windows下会强大很多！！！！！！！[/quote:]
iptables移植到Windows下。。。那还要ISA&Server干什么？&:shock:
&skylove 回复于： 20:53:56
补充一下，如果你shell比较熟悉，配合着iptables做动态的防火墙等等也很不错。
&speed_fj 回复于： 21:44:21
isa&不错的&可操作性很大&可惜效率不高
skynet我随便说说的&个位何必弄出一副不削的样子呢
&水中风铃 回复于： 22:06:27
[quote:59abca043f="speed_fj"]isa&不错的&可操作性很大&可惜效率不高
skynet我随便说说的&个位何必弄出一副不削的样子呢[/quote:59abca043f]
我用过它的硬件防火墙，一年硬件得坏好几次，你说行不行？
&sunny0236 回复于： 22:43:05
iptables移到windows下不太可能.需要操作系统内核支持才行.呵呵,总不能改windows内核.
&netox 回复于： 23:09:36
学习了,长视野呀
&守夜人 回复于： 23:49:05
iptables不错，亮点太多了．．．．
一般晚上上茅厕我拿它当蜡烛～～
&speed_fj 回复于： 16:58:21
小心防火&：）
&windstar 回复于： 01:28:13
iptable不错,isa其实用着也还可以哈
&急不通 回复于： 09:57:33
[quote:7da4d28e16="sandsoft"]天网算什么？？会问这样的问题，我都在想要是iptables移植到windows下，windows下会强大很多！！！！！！！[/quote:7da4d28e16]
这种话都说出来了!iptables只是一个防火墙的操作接口,实际上防火墙的功能是在内核实现的.内核是什么?win和linux的根本区别就在内核了,你移植个看看!
&守夜人 回复于： 10:39:06
说实在的，isa再强大，功能再利害也没有，因为它是基于ＷＩＮ的，在一块烂泥上是不可能建成坚固的高楼大厦的，除非将它移植到linux下可能和ＩＰＴＡＢＬＥＳ还有得一拼
&speed_fj 回复于： 11:14:10
ISA有很多花头&匪夷所思
&NetDC 回复于： 12:26:04
[quote:41dd6707f1="JohnBull"]根本原因是因为iptables（确切地说是netfilter）是内核态防火墙－－这就是它的先天优势－－天网这种用户态防火墙于之相比不过是儿童玩具。
当网络接口收到报文的时候通过IRQ通知驱动程序，操作系统内核通过驱动程..........[/quote:41dd6707f1]
想请教版主一下，netfilter中那个ip_conntrack_max最多可以设置到多大？？我已经设置到了655350了，原先设置是65535，结果wc&ip_conntrack发现快满了，就把max值调了一下，可是不知道这个上限是多少。。
内核配置文件/boot/config****中没找到这个值的设置。。&:em14:&&:em14:
&JohnBull 回复于： 13:37:47
[quote:6="NetDC"]
想请教版主一下，netfilter中那个ip_conntrack_max最多可以设置到多大？？我已经设置到了655350了，原先设置是65535，结果wc&ip_conntrack发现快满了，就把max值调了一下，可是不知道这个上限是多少。。
内核配?..........[/quote:6]
内核的头文件里我没找到这个值的硬上限，应该没有硬性限制。
但是简单地增大这个值可能降低性能。这个值初始设置为hash表容量的8倍，简单增加max值可能降低hash表的检索速度。
发现hash表的尺寸是在初始化ip_conntrack的时候确定的：
（摘自&&linux-2.4.26/net/ipv4/netfilter/ip_conntrack_core.c文件的ip_conntrack_init(void)）
[code:1:6]
......
&&&&&&&&/*&Idea&from&tcp.c:&use&1/16384&of&memory.&&On&i386:&32MB
&&&&&&&&&*&machine&has&256&buckets.&&&=&1GB&machines&have&8192&buckets.&*/
&&&&&&&&if&(hashsize)&{
&&&&&&&&&&&&&&&&ip_conntrack_htable_size&=&
&&&&&&&&}&else&{
&&&&&&&&&&&&&&&&ip_conntrack_htable_size
&&&&&&&&&&&&&&&&&&&&&&&&=&(((num_physpages&&&&PAGE_SHIFT)&/&16384)
&&&&&&&&&&&&&&&&&&&&&&&&&&&/&sizeof(struct&list_head));
&&&&&&&&&&&&&&&&if&(num_physpages&&&(1024&*&1024&*&1024&/&PAGE_SIZE))
&&&&&&&&&&&&&&&&&&&&&&&&ip_conntrack_htable_size&=&8192;
&&&&&&&&&&&&&&&&if&(ip_conntrack_htable_size&&&16)
&&&&&&&&&&&&&&&&&&&&&&&&ip_conntrack_htable_size&=&16;
&&&&&&&&}
&&&&&&&&ip_conntrack_max&=&8&*&ip_conntrack_htable_
&&&&&&&&printk(&ip_conntrack&version&%s&(%u&buckets,&%d&max)&
&&&&&&&&&&&&&&&&&-&%Zd&bytes&per&conntrack\n&,&IP_CONNTRACK_VERSION,
&&&&&&&&&&&&&&&ip_conntrack_htable_size,&ip_conntrack_max,
&&&&&&&&&&&&&&&sizeof(struct&ip_conntrack));
......
[/code:1:6]
就是说hash表占用内存的1/16384但是不超过8192项。
我觉得更好的方法是修改这段源码，直接增加hash表的容量更合理一些。
&NetDC 回复于： 14:07:16
唔，不知道用wc来计算conntrack数目是否准确，因为需要好几秒的时间，现在算了下，有68970行，超过了65535，而从系统的流量上看，现在还没有到使用的高峰期，最高峰是21M左右，现在是17M。
另外有一点不明白，我只使用了一个共网地址，这样实际上使用的是PAT，记得端口数最多是65535，还有一小部分是保留的，那么每个连接是不是都要使用一个本地的端口呢？如果这些连接都是TCP或UDP的，那样就会超出65535这个限制了，所以，我想，那些conntrack的限制会不会在这里？
提高conntrack_max的值我想对性能不会有太大的影响，至少在我的机子上，CPU使用在5％以下，内存1G只用了300多M，还有100多M是buffers，空余近600M，而上网的速度也没有受到什么影响。
BTW:我用的内核是2.4.18－1－686－smp的（系统有两颗CPU）。[/i]
&JohnBull 回复于： 15:29:11
[quote:1c866ba1d3="NetDC"][/quote:1c866ba1d3]
记住，不存在所谓的PAT。理由：没有PAT相关的RFC。
Linux实现的就是完整的NAT和NAPT，可以进行端口替换（参见RFC3022），但是端口并没有bind到本地协议栈上。所以不受本地端口资源的限制。
性能肯定要受影响，只不过这个影响在你的负载量下很小，测不到而已。你想想hash表一样大，内容增加了10倍，性能怎能不下降？
&NetDC 回复于： 15:47:30
[quote:dcf3697db0="JohnBull"]
记住，不存在所谓的PAT。理由：没有PAT相关的RFC。
Linux实现的就是完整的NAT和NAPT，可以进行端口替换（参见RFC3022），但是端口并没有bind到本地协议栈上。所以不受本地端口资源的限制。
性能肯定要受影?..........[/quote:dcf3697db0]
^_^，多谢，我要好好看看一下RFC3022。
&孙轩 回复于： 16:59:33
其实iptables还有一个亮点就是他支持基于状态的过滤规则
&sandsoft 回复于： 19:56:54
如果说iptables不能移植到windows下，那么bind是怎么回事。apache也应该在上，怎么回事。。：》
&網中人 回复于： 21:49:54
分一下&user&space&與&kernel&space&,
就知到哪些可移哪些不可移了....
&bwlbwlbwl 回复于： 11:46:25
有些IPTABLES还是处理不了的，比如说应用层的非法攻击
&JohnBull 回复于： 12:04:40
[quote:3a3d0b5866="bwlbwlbwl"]有些IPTABLES还是处理不了的，比如说应用层的非法攻击[/quote:3a3d0b5866]
谁说的？装一个叫layer7的模块试试。
&水中风铃 回复于： 16:06:38
现在是出了其于应用层过滤的模快。可以去官方网站看看
&hrcxf 回复于： 12:01:43
ipp2p和netfilter-layer7是iptables两个不错的扩充模块
&skylove 回复于： 12:23:47
[quote:d="speed_fj"]ISA有很多花头&匪夷所思[/quote:d]
说说看你想实现的isa中的什么功能?或许我可以尝试用iptables做到同样的?
&speed_fj 回复于： 13:48:39
譬如你有2家ISP的线路&ISA可以实现第一次通讯测试这个包的目的地走哪条线速度快&然后到这个目的地的包就一直走这跳路由
&水中风铃 回复于： 13:51:57
[quote:62d603e104="speed_fj"]譬如你有2家ISP的线路&ISA可以实现第一次通讯测试这个包的目的地走哪条线速度快&然后到这个目的地的包就一直走这跳路由[/quote:62d603e104]
iptables可以做多路负载均衡
&speed_fj 回复于： 14:09:04
ISA这个是的
&水中风铃 回复于： 14:23:23
晕。无话可说
&JohnBull 回复于： 14:56:09
[quote:573b5c57c5="speed_fj"]ISA这个是自动测试的[/quote:573b5c57c5]
白痴！不要再卖弄自己的无知了！&:wink:&
我问问你：它怎么检测的？它的检测以什么为依据？测时延？测占空比？还是测拥塞？当它测到变化的时候怎么改变？这个机制与NAT如何协调？
你是不是以为计算机里面住着一个小神仙？
&JohnBull 回复于： 14:58:16
[quote:df4b2e529a="speed_fj"]譬如你有2家ISP的线路&ISA可以实现第一次通讯测试这个包的目的地走哪条线速度快&然后到这个目的地的包就一直走这跳路由[/quote:df4b2e529a]
你不觉得这个策略很愚蠢吗？
&網中人 回复于： 15:35:11
[quote:83ac380743="speed_fj"]譬如你有2家ISP的线路&ISA可以实现第一次通讯测试这个包的目的地走哪条线速度快&然后到这个目的地的包就一直走这跳路由[/quote:83ac380743]
這不是&netfilter&的工作,&而是&kernel&routing&的功能.
豈可混為一談?
有空看看&iproute2&的文件,&你說的這個"低級"功能不用怎麼複雜的設定也可跑的出來.
&KindGeorge 回复于： 17:16:24
佩服Johnbull和网中人的解析.十分赞同
&skylove 回复于： 12:15:25
[quote:493b9796c3="speed_fj"]ISA这个是自动测试的[/quote:493b9796c3]
什么叫自动?&如果我cp好一个iptables&rules给你直接用,或者我替你做一个linuxbox是不是更自动??&如果你愿意出更多的钱,我替你管理,你只需要吩咐就行了,那不是更智能???
你说的多策略,在iptables上和ip2上都可以做
iptables的做法是判断源地址/目的地址,然后mark一下,然后进行不同的路由;
ip2的做法是新建2个路由表,然后也是按照from&或者to来进行判断
这些简单问题,只有isa能做到?笑话...&我这里2个出口,1个教育网出口就是在一台linux&nat网关上搞定的.
iptables和ip2都是很强大的工具的,你说它不好，或许是因为你没能把它用好;
netman先生和johnbull先生在上,我班门弄斧不好意思多言了.
&skylove 回复于： 12:20:49
[quote:44d3523992="speed_fj"]譬如你有2家ISP的线路&ISA可以实现第一次通讯测试这个包的目的地走哪条线速度快&然后到这个目的地的包就一直走这跳路由[/quote:44d3523992]
仔细一看，这个策略不是很不可靠么？&如果我有电信/网通2条线,万一&电信/网通线路整改,我不是就可能有n多站点无法访问或者极慢了??
类似这样的,还不如ip2中设置好from的ip段的方式来得科学...
什么是自动?&自动就是保留了80%功能丧失掉20%的懒惰妥协,但太多的时候我们管理员最需要的却是那20%...当然如果你是个人用户我无话可说
&joyaid 回复于： 17:11:19
支持JohnBull!!说的好!
别那win32下面的家用产品比!
呵呵~~
&joyaid 回复于： 17:20:27
哇哈哈哈~~我终于看到最好一页了!!
这里是CU!
如果说ISA&请去Winmag吧!!
哇哈哈哈~~~
&speed_fj 回复于： 18:31:06
被猛挨批了&5555
&cccjsxg 回复于： 20:54:20
&speed_fj 回复于： 06:12:30
请问iptables如何随机化TCP序列号
&joess 回复于： 13:26:26
其实windows　也有自己的内核防火墙机制(不是ＸＰ和２００３上的那个），只是会用到的人不多，主要是没有很好的配置界面，功能还可以，就是处理流量的能力只有&45m/s&和　iptables　比各有千秋，至于ip2&的话可能梢强点。
&網中人 回复于： 13:43:17
我曾聽說有人將&iptables&的功能做近&asic&芯片去.
最大的好處就是---&wire&speed!
&joess 回复于： 14:05:11
[quote:3f435ae268="網中人"]我曾聽說有人將&iptables&的功能做近&asic&芯片去.
最大的好處就是---&wire&speed![/quote:3f435ae268]
成硬件防火墙了！呵呵
&skylove 回复于： 14:31:18
[quote:796a5030bc="joess"]其实windows　也有自己的内核防火墙机制(不是ＸＰ和２００３上的那个），只是会用到的人不多，主要是没有很好的配置界面，功能还可以，就是处理流量的能力只有&45m/s&和　iptables　比各有千秋，至于ip2&的话可能梢?.........[/quote:796a5030bc]
&你说的是ip安全策略吧...&那么,麻烦给我配置一个只能通过http的服务策略出来,要求如下:
http服务，端口任意,均可以访问;
其他服务,即使使用80口，依然不准访问
您用ip安全策略实现看看??
以上要求我用iptables加个模块就可以做到
&網中人 回复于： 14:58:14
[quote:90e86c0a01="joess"]
成硬件防火墙了！呵呵[/quote:90e86c0a01]
這還不止哦,&聽說他的&asic&可嵌入網卡(NIC)去!
也就是,&每一台主機本身就是一個硬件式防火牆.&夠猛吧?&&^_^
&wsgtrsys 回复于： 15:53:14
[quote:="網中人"]
這還不止哦,&聽說他的&asic&可嵌入網卡(NIC)去!
也就是,&每一台主機本身就是一個硬件式防火牆.&夠猛吧?&&^_^[/quote:]
哪里有介绍的文章？
&andyliu 回复于： 16:46:39
[quote:8ae0f50263="網中人"]
這還不止哦,&聽說他的&asic&可嵌入網卡(NIC)去!
也就是,&每一台主機本身就是一個硬件式防火牆.&夠猛吧?&&^_^[/quote:8ae0f50263]
那是不是还要对网卡进行配置?
&aaaaaa 回复于： 17:22:16
也许你可以看看
*&&net-analyzer/snortsam
&&&&&&Latest&version&available:&2.30
&&&&&&Latest&version&installed:&[&Not&Installed&]
&&&&&&Size&of&downloaded&files:&985&kB
&&&&&&Homepage:&&&&http://www.snortsam.net/
&&&&&&Description:&Snort&plugin&that&allows&automated&blocking&of&IP&addresses&on&several&firewalls
&&&&&&License:&&&&&as-is
iptables&+&snort&+&snortsam&应该比较容易实现这个。
[quote:7f892e0c8d="speed_fj"]天网是比较不上台面的&我随便说说&只是iptables有什么别人做不到&或者做不好的特点马
譬如有个弄能&我只能做脚本定期查日志实现&&iptables有选项可以直接做到马&我资料没有查到
就是我可以定义在N分钟内跟我通..........[/quote:7f892e0c8d]
&wsgtrsys 回复于： 18:34:06
[quote:f].&Maintaining&a&List&of&recent&Connections&to&Match&Against
By&using&the&recent&extension&one&can&dynamically&create&a&list&of&IP&addresses&that&match&a&rule&and&then&match&against&these&IPs&in&different&ways&later.&One&possible&use&would&be&to&create&a&"temporary"&bad-guy&list&by&detecting&possible&port&scans&and&to&then&DROP&all&other&connections&from&the&same&source&for&a&given&period&of&time&
Port&139&is&one&of&the&most&dangerous&ports&for&Microsoft&Windows&&users&as&it&is&through&this&port&that&the&Windows&file&and&print&sharing&service&runs.&This&also&makes&this&port&one&of&the&first&scanned&by&many&port&scanners&or&potential&hackers&and&a&target&for&many&of&the&worms&around&today.&We&can&use&the&recent&matching&extension&to&temporarily&block&any&IP&from&connecting&with&our&machine&that&scans&this&port&as&follows:[/quote:f]
iptables&-A&FORWARD&-m&recent&--name&portscan&--rcheck&--seconds&300&-j&DROP
iptables&-A&FORWARD&-p&tcp&-i&eth0&--dport&139&-m&recent&--name&portscan&--set&-j&DROP
&JohnBull 回复于： 20:12:19
[quote:fb="speed_fj"]请问iptables如何随机化TCP序列号[/quote:fb]
这叫什么馊主意？这将引起并发数和吞吐量的急剧下降，不可取。
这种事情由端系统处理比较好。
&JohnBull 回复于： 20:16:57
[quote:4d6b743a8d="joess"]其实windows　也有自己的内核防火墙机制(不是ＸＰ和２００３上的那个），只是会用到的人不多，主要是没有很好的配置界面，功能还可以，就是处理流量的能力只有&45m/s&和　iptables　比各有千秋，至于ip2&的话可能梢?..........[/quote:4d6b743a8d]
不可能的。windows是半微内核体系，TCP/IP是在用户态代码上实现的,不必考虑性能的比较。参见我最开始的帖子。
&oid2000 回复于： 21:11:24
看来iptables确实很能干！
学习中！
楼上的发言很精彩！
&hync 回复于： 03:20:58
唔，放下iptables好久了，现一直在用BSD的ipf，看来要好好进一步学用iptables了。另外不知各高人对BSD+ipf如何看法？
&davidbu 回复于： 00:39:46
iptables&和checkpoint&r55&比起来就差得远啦，我以前是iptables的忠实用户，但是觉得太麻烦，而且也不好管理。现在投靠Checkpoint&啦！！而且CP的功能要远远强过Iptables&:em02:
iptables和CP不是一个级别的的哦。性能嘛，我觉得firewall性能可以不计的，随便什么pc跑得就很好了。不过可能CP的性能不如iptables，不过iptables也不是万能的。要玩还是要玩专业点的东西好，而且玩iptables又挣不上钱&:roll:&
呵呵，个人意见！！
&platinum 回复于： 00:52:02
iptables其实也很好理解，也不难管理，关键看管理员的水平如何
如果从商业目的考虑，checkpoint确实比iptables好的多的多……&&：）
&speed_fj 回复于： 11:06:55
赚钱要紧&但是玩CHECKPOINT要有环境啊
&yoninh 回复于： 11:14:53
[quote:ee1dd93f0b="水中风铃"]看看IPtables指南就会明白了，天网跟它没有什么可比性。功能非常强大，性能也很优异的，主要看管理员的水平[/quote:ee1dd93f0b]
感觉的确是这样。我是新手，但是我觉得iptables给自己了一个编程的环境，尽管是简单的编程。可能也是因为这样，所以管理员的水平也决定很多。
&speed_fj 回复于： 17:29:25
iptables比较自由点吧
&anqua 回复于： 20:59:36
我用iptables能为公司节省&it投资,自己也能得到锻炼的说.
&JohnBull 回复于： 23:29:40
[quote:37e1d4957b="davidbu"]iptables&和checkpoint&r55&比起来就差得远啦，我以前是iptables的忠实用户，但是觉得太麻烦，而且也不好管理。现在投靠Checkpoint&啦！！[/quote:37e1d4957b]
好管理？防火墙配置好以后难道还要整天玩弄不成？那个界面你每天用几次？太麻烦？别客气，是没学会吧？&:em11:&
[quote:37e1d4957b="davidbu"]
而且CP的功能要远远强过Iptables
iptables和CP不是一个级别的的哦。
[/quote:37e1d4957b]
“不是一个级别的的哦”，还加一个“哦”？我哦你个头，你指的是价格吧？&:lol:&当然，比netfilter高几个级别，利用神经网络/遗传算法进行分布式分层模式分析的产品当然有，但决不是CP。
[b:37e1d4957b]就烦这种FUD。说说吧，CP防火墙的哪些功能Linux内核实现不了？说出来了则已，说不出来的话，就把这种FUD的屁话收回去。
[/b:37e1d4957b]
[quote:37e1d4957b="davidbu"]
性能嘛，我觉得firewall性能可以不计的，随便什么pc跑得就很好了。
[/quote:37e1d4957b]
高论啊高论！真乃神人也！！&&:wink:&
[quote:37e1d4957b="davidbu"]
不过可能CP的性能不如iptables，不过iptables也不是万能的。要玩还是要玩专业点的东西好，而且玩iptables又挣不上钱&
[/quote:37e1d4957b]
你是不是觉得有一个看上去十分专业的GUI就说明这个软件特别的“专业”？？“玩iptables又挣不上钱&”这句话应该是CP向你们这些IQ=72的家伙们说的，我就是玩Linux的(我IQ=90)，一个月挣1.5W，比您这个玩CP挣到钱的如何？&:em11:&
[quote:37e1d4957b="davidbu"]
呵呵，个人意见！！[/quote:37e1d4957b]
别紧张，我没说你是枪手。&:mrgreen:&
只是在这个时间，这个地点说出这些话，就别想用“个人意见”堵人家嘴。
[/b]
&cx6445 回复于： 18:18:55
除了性能上，高档的硬件防火墙在功能上的确没啥能比iptables强的
在熟练工的角度来看，命令行比GUI高效得多
当然对于初学者有一个好看的GUI很重要
&mumhero 回复于： 19:12:47
[quote:5a="hync"]另外不知各高人对BSD+ipf如何看法？[/quote:5a]
&bwlbwlbwl 回复于： 11:24:45
明白了原来是要装扩展模块哦.谢谢伺教.关于IPTABLES&应用层过滤问题.比如说动网漏洞.
&ucdos2003 回复于： 11:29:27
看样子我也得好好练练iptables了!!!
&bwlbwlbwl 回复于： 11:38:16
SOLARIS&IPF我还没用起来不知道谁能给点资料
&skylove 回复于： 11:56:30
[quote:146da2d63d="bwlbwlbwl"]明白了原来是要装扩展模块哦.谢谢伺教.关于IPTABLES&应用层过滤问题.比如说动网论坛漏洞.[/quote:146da2d63d]
l7过滤模块或者string过滤模块就行了,比如对url中的cmd.exe之类的进行禁止;
&atz0001 回复于： 16:27:14
[quote:23e40afa84="speed_fj"]
就是我可以定义在N分钟内跟我通讯的一个ip超过一定次数&就是建立socket&我就自己drop他
我估计还是要写sh&不过我写的那个不太好&老是会抽&不知道谁有好的马[/quote:23e40afa84]
贴主是&iptables&用户来的，不要光顾着猛批，解决他的问题是真。
你说的这个功能用&--limit&模块可以实现。
http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO-7.html#ss7.3
相关的还有
http://www.netfilter.org/documentation/HOWTO//netfilter-extensions-HOWTO-3.html#ss3.5
iptables&是一个非常容易扩展的体系结构，&iptables，应当用扩展的形式。
&speed_fj 回复于： 16:44:54
谢谢&http://www.netfilter.org/documentation/HOWTO//netfilter-extensions-HOWTO.html#toc3&很好地方
[quote:86dfaf3fd5="atz0001"]
贴主是&iptables&用户来的，不要光顾着猛批，解决他的问题是真。
你说的这个功能用&--limit&模块可以实现。
http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO-7.html#ss7.3
相关?.........[/quote:86dfaf3fd5]
&雅鑫帝恩 回复于： 18:34:45
[quote:4e0c89b9fe="sandsoft"]天网算什么？？会问这样的问题，我都在想要是iptables移植到windows下，windows下会强大很多！！！！！！！[/quote:4e0c89b9fe]
这恐怕要和盖茨哥商量
&joess 回复于： 17:34:25
[quote:a1d1f2ae39="skylove"]
&你说的是ip安全策略吧...&那么,麻烦给我配置一个只能通过http的服务策略出来,要求如下:
http服务，端口任意,均可以访问;
其他服务,即使使用80口，依然不准访问
您用ip安全策略实现看看??
以上要求我用ipta..........[/quote:a1d1f2ae39]
当然可以,用ip安全策略过滤端口,
用安全策略配置服务.
懂了吧!不是不行,而是会配的人少.对WINDONS不熟就不要发声音.
&platinum 回复于： 17:42:16
[quote:c963a57c3b="joess"]
当然可以,用ip安全策略过滤端口,
用安全策略配置服务.
懂了吧!不是不行,而是会配的人少.对WINDONS不熟就不要发声音.[/quote:c963a57c3b]
skylove说的是7层应用的匹配
匹配的不是地址，也不是端口，而是服务
也就是说，不管是http如何启动，在哪个地址上，在哪个端口上，大家均能访问
而其他服务，即使开在80端口上，别人也访问不了
这个WIN恐怕是无能为力……
&joess 回复于： 17:43:22
[quote:b2b1f5408e="JohnBull"]
不可能的。windows是半微内核体系，TCP/IP是在用户态代码上实现的,不必考虑性能的比较。参见我最开始的帖子。[/quote:b2b1f5408e]
话这这么说,但是由于代码跟内核结合的很紧密了,所以说它有内核防火墙也未常不客,上次特别问微软的人的.
&joess 回复于： 17:45:47
[quote:74df9074fd="platinum"]
skylove说的是7层应用的匹配
匹配的不是地址，也不是端口，而是服务
也就是说，不管是http如何启动，在哪个地址上，在哪个端口上，大家均能访问
而其他服务，即使开在80端口上，别人也访问不了
这个WIN恐怕是..........[/quote:74df9074fd]
这个也许不行,我没这样做过.
原文转自：
评论列表（网友评论仅供网友表达个人看法，并不表明本站同意其观点或证实其描述）