the mangle在地球的构造由外到内分别是构造里什么意思

来源:蜘蛛抓取(WebSpider) 时间:2015-09-09 18:59 标签: 地球构造

首先,我要把本文献给我那wonderful的女友Ninel(她给我的帮助远远胜过我给她的):希望我能 让你幸福,就象你给我的。( 译者注:我没有想到合适的词能表达作者女友的wonderful,你就自己想 去吧。还有,不知他们现在是否结婚了:) )

译者sllscn是里的“Linux 新鲜社员”,一个Linux爱好者,在实际工作中使用iptables构造防火墙时,发现有关iptables的中文资 料太少,故而不得已参考英文版的材料。为了今后参考的方便,也为了广大使用者,不怕自己的英文水平 太差,翻着字典翻译了本文。翻译只为了能看懂,达不到“好看”,勿怪!

第一章序言部分除了第三小节介绍的术语要看看,其他都没什么。第二章对想要亲自编 译iptables的兄弟们是有些帮助的。第三、第四两章可以使我们理解、掌握iptables工作方式和流程。第五 章和第六章是iptables命令使用方法的详细介绍。第七章与第八章是实例讲解,对我们编写自己的规则很有 指导意义的,强烈建议你看一看。附录里有一些资源链接是很好的,相信你一定会喜欢。

在阅读本文时,你可能会发现有重复的地方,这不是原作者的水平不高,反而恰恰是他 为我们考虑的结果。你可以把这篇文章的任何一章抽出来阅读,而不需要反复地参照其他章节。在此,再次 向作者表示敬意!

因译者水平有限,对原文的理解不敢保证完全正确,如有意见或建议,可以联系译者slcl@ 书写这个指南时的帮助表示极大的谢意,现在这个指南在我自己的站点的机子B 想要访问A的HTTP服务,那他得到的将是yahoo的主页,因为请求是来自yahoo的。

可能引起循环或其他问题。比如,一台机子向另一台配置了MIRRORTTL值为255的机子发送一个会被认为是欺骗的数据 包,同时这台机子也欺骗自己的数据包,以使它被认为好像是来自第三个使用了MIRROR 的机子。这样,那个包就会不间断地往来很多次,直到TTL为0。如果两台机子之间只有一个路由器,这 个包就会往返240-255次。对骇客来说,这是不坏的情况,因为他只要发送一个1500字节的数据(也就是一 个包),就可以消耗你的连接的380K字节。对于骇客或者叫做脚本小子(不管我们把他们称作什么)来说, 这可是很理想的情况。

在防火墙所在的机子内部转发包或流到另一个端口。比如,我们可以把所有去往端口HTTP的包REDIRECT到HTTP proxy(例如squid),当然这都发生在我们自己的主机内部。本地生成的包都会被映射到,而其他用户都不可以。你也可以只允许你自己使用的用户名和root才能访问 Internet,这样别人会很烦的,但你的安全性在某些方面会有所提高哦,比如,把你当作发起攻击的跳板的 情况。关于ipt_owner的更多信息,可以看看章节里的。

在这儿我们也可以为状态匹配安装扩展模块。状态匹配和连接跟踪的所有扩展模块的名字都是这样的: ip_conntrack_*和ip_nat_* 。连接跟踪的helper是一些特殊的模块,正是它们告诉了内核怎样恰当地跟踪 特殊的连接。没有这些helper,内核在处理特殊连接的时候,就不知道该查看些什么东西。NAT helper就是 连接跟踪helper的扩展,它会告诉内核在包里找什么、如何转换它们,这样连接才能真正工作起来。比如, FTP是一个复杂的协议,它利用包的有效数据部分来发送连接信息。如果一台需要被NAT的机子(译者注:也 就是说,机子在一个内网里)连接Internet上的FTP服务器,它就会把自己的内网IP地址放在包的数据区内 发送出去,以使FTP服务器能连接到那个地址。但私有地址不能在LAN外使用,所以FTP服务器不知道用它做 什么,连接就会断掉了。FTP NAT helper能完成这些连接中所有的地址转换工作,因此FTP服务器就知道该 往哪儿连了。同样的事情也发生在DCC的文件传输(这里指的是发送)和聊天上,为了建立连接,IP地址和 端口都需要利用IRC协议的数据区发送,而且还要做一些转换工作。没有这些helper的话,FTP和IRC只有一 部分工作是正常的,但另一部分根本就无法工作。例如,你可以通过DCC接收文件,但就是不能发送。这个 问题的原因在于DCC是如何建立连接的。当DCC想发送文件时,会告诉接收者你要发送文件,并让它知道要连 接到什么地方。如果没有helper,这个DCC连接最终会断开,因为接收者收到的是内网的地址。这样,当它 按那个地址连接时,其实就连到和它在同一内网的机子了。那为什么可以接收呢?因为发送者给你的是可在 Internet上使用的IP地址(大部分情况下,IRC服务器都有真实的IP地址)。

首先,我要把本文献给我那wonderful的女友Ninel(她给我的帮助远远胜过我给她的):希望我能 让你幸福,就象你给我的。( 译者注:我没有想到合适的词能表达作者女友的wonderful,你就自己想 去吧。还有,不知他们现在是否结婚了:) )

译者sllscn是里的“Linux 新鲜社员”,一个Linux爱好者,在实际工作中使用iptables构造防火墙时,发现有关iptables的中文资 料太少,故而不得已参考英文版的材料。为了今后参考的方便,也为了广大使用者,不怕自己的英文水平 太差,翻着字典翻译了本文。翻译只为了能看懂,达不到“好看”,勿怪!

第一章序言部分除了第三小节介绍的术语要看看,其他都没什么。第二章对想要亲自编 译iptables的兄弟们是有些帮助的。第三、第四两章可以使我们理解、掌握iptables工作方式和流程。第五 章和第六章是iptables命令使用方法的详细介绍。第七章与第八章是实例讲解,对我们编写自己的规则很有 指导意义的,强烈建议你看一看。附录里有一些资源链接是很好的,相信你一定会喜欢。

在阅读本文时,你可能会发现有重复的地方,这不是原作者的水平不高,反而恰恰是他 为我们考虑的结果。你可以把这篇文章的任何一章抽出来阅读,而不需要反复地参照其他章节。在此,再次 向作者表示敬意!

因译者水平有限,对原文的理解不敢保证完全正确,如有意见或建议,可以联系译者slcl@ 书写这个指南时的帮助表示极大的谢意,现在这个指南在我自己的站点的机子B 想要访问A的HTTP服务,那他得到的将是yahoo的主页,因为请求是来自yahoo的。

可能引起循环或其他问题。比如,一台机子向另一台配置了MIRRORTTL值为255的机子发送一个会被认为是欺骗的数据 包,同时这台机子也欺骗自己的数据包,以使它被认为好像是来自第三个使用了MIRROR 的机子。这样,那个包就会不间断地往来很多次,直到TTL为0。如果两台机子之间只有一个路由器,这 个包就会往返240-255次。对骇客来说,这是不坏的情况,因为他只要发送一个1500字节的数据(也就是一 个包),就可以消耗你的连接的380K字节。对于骇客或者叫做脚本小子(不管我们把他们称作什么)来说, 这可是很理想的情况。

在防火墙所在的机子内部转发包或流到另一个端口。比如,我们可以把所有去往端口HTTP的包REDIRECT到HTTP proxy(例如squid),当然这都发生在我们自己的主机内部。本地生成的包都会被映射到,而其他用户都不可以。你也可以只允许你自己使用的用户名和root才能访问 Internet,这样别人会很烦的,但你的安全性在某些方面会有所提高哦,比如,把你当作发起攻击的跳板的 情况。关于ipt_owner的更多信息,可以看看章节里的。

在这儿我们也可以为状态匹配安装扩展模块。状态匹配和连接跟踪的所有扩展模块的名字都是这样的: ip_conntrack_*和ip_nat_* 。连接跟踪的helper是一些特殊的模块,正是它们告诉了内核怎样恰当地跟踪 特殊的连接。没有这些helper,内核在处理特殊连接的时候,就不知道该查看些什么东西。NAT helper就是 连接跟踪helper的扩展,它会告诉内核在包里找什么、如何转换它们,这样连接才能真正工作起来。比如, FTP是一个复杂的协议,它利用包的有效数据部分来发送连接信息。如果一台需要被NAT的机子(译者注:也 就是说,机子在一个内网里)连接Internet上的FTP服务器,它就会把自己的内网IP地址放在包的数据区内 发送出去,以使FTP服务器能连接到那个地址。但私有地址不能在LAN外使用,所以FTP服务器不知道用它做 什么,连接就会断掉了。FTP NAT helper能完成这些连接中所有的地址转换工作,因此FTP服务器就知道该 往哪儿连了。同样的事情也发生在DCC的文件传输(这里指的是发送)和聊天上,为了建立连接,IP地址和 端口都需要利用IRC协议的数据区发送,而且还要做一些转换工作。没有这些helper的话,FTP和IRC只有一 部分工作是正常的,但另一部分根本就无法工作。例如,你可以通过DCC接收文件,但就是不能发送。这个 问题的原因在于DCC是如何建立连接的。当DCC想发送文件时,会告诉接收者你要发送文件,并让它知道要连 接到什么地方。如果没有helper,这个DCC连接最终会断开,因为接收者收到的是内网的地址。这样,当它 按那个地址连接时,其实就连到和它在同一内网的机子了。那为什么可以接收呢?因为发送者给你的是可在 Internet上使用的IP地址(大部分情况下,IRC服务器都有真实的IP地址)。

我要回帖

更多关于 地球构造 的文章

 

随机推荐