iptable

参考：

LINUX_iptable应用手册.pdf

五个拦截点hook points：

拦截点处理的包PREROUTING刚刚抵达网络界面的有效包INPUT即将交给本机的包OUTPUT即将从网络界面发出的包FORWARD通过闸道器的包，从一个界面进，从另一个界面出POSTROUTING即将从网络界面发出的包

三大表格：

• net
• filter
• mangle

三大表格与五大拦截点对应关系：

net表格：

filter表格：

mangle表格：

内建目标：

目标描述ACCEPT接受DROP终结包的行程QUEUE让包进入userspaceRETURN返回

应用范围：

• Packet Filtering
• Accounting
  
  • byte 封包总大小
  • package counter 符合该条件规则的包数
• Connection tracking
• Package mangling
• Network Address Translation NAT
  
  • SNAT
  • DNAT
• Masquerading 伪装，一种特殊的SNAT
• Port Forwarding 通讯埠转接
• Load balancing 负载均衡

目录与文档：

• /etc/sysctl.conf
• /proc/net/ip_connect
• /proc/sys/net/ipv4/ip_conntrack_max
• /proc/sys/net/ipv4/ip_forward

常用配套工具：

• etheral
• nessus
• nmap
• ntop
• ping
• tcpdump
• traceroute

各种过滤条件：

......好多