LINUX iptable应用手册(三)

第三篇通明代劳(transparent proxying)「通明代劳」的道理，是阻挡一定典型的离境连線，而后转向另一部能包办本来手段地供给效劳的伺服器。此本领让你可架设搜集效劳的代劳效劳器(proxy server)．而又不用逐个设定里面搜集上的每台电脑。由于一切离境连線城市过程闸道器，以是，任何试图连線到边疆网路一定通信埠的连線，都不妨在无形中机动转向代劳效劳器。举例来说，假如你在闸道器架设了http proxy效劳（比方squid），其效劳通信端口是tcp port 8888，你不妨将下列准则介入闸道器长机，使其将一切试图连到外界的http通信都转向http proxy（假如eth0是闸道器贯穿里面搜集的介面）：iptables -t nat -a prerouting -i eth0 -p tcp –dport 80-j redirect - -to-port 8888即使代劳效劳安置於闸道器除外的呆板，要做到「通明代劳」的功效，那将会搀杂很多。关於这上面的详细，请参考daniel kirac对squid所寫的一篇指導作品：负载平稳负载平稳（load balancing）的效率，是将处事承担大概平衡第分别到多部供给沟通效劳的长机，使每部长机赢得大概十分的处事量，辑此充溢运用搜集频宽。为了尽管平等分配处事承担，闸道器必需统计各目的效劳器已接受的处事量，如许本领确定下次该当将新处事调配给哪一部目的效劳器。运用nth过滤前提配搭dnat目的，iptables可将搜集负载均派到多部共同效劳器。「乏态」与「具态」防火牆「风火墙」(firewall)是一种特出的閘道电脑，其效率是控制其贯串搜集之间的交通。乏態防火牆 (stateless firewall）运用不须要蹑踪连线或其它状况的大略过滤前提（比如说，按照根源与手段位置址的拉拢，或一定协议的通信端口）来确定怎样处置包。也即是说，一切包都被视为独力的个别来处置，而不商量它们之间的关连性。具态风火墙（stateful firewall）供给较进步的包处置本领，其过滤前提不妨波及高阶的传输层看法，诸如tcp连线、udp串流、迩来发出包的长机、仍在震动中的连线之类。换言之，包不复被视为独力个别，各别的包之间的关连性或其它状况，也不妨变成过滤前提。救济具态风火墙的过滤前提夸大模组，囊括iplimit、limit和recent之类。上述两种风火墙准则，iptables都救济（请参见《网址转译（nat）》末节的《劝告》）。常用的配系东西当你须要尝试风火墙或其它搜集功效时，有很多简单的东西不妨共同运用。《表14》列出几种最常用的必备东西。iptables吩咐参考材料线上证明iptables供给了少许线上证明。运用下列吩咐可博得基础的扶助资源讯息：iptables -hiptables -m match -hiptables -j target -hman iptables===========================劝告：那些资源讯息根源之间偶然会展示彼此冲突的景象。===========================iptables的子吩咐每个iptables吩咐都可包括一个子吩咐，那些子吩咐效率在一定表格（某些特出情景下是效率于链结）。《表16》列出用来形成子吩咐的选项。============================劝告：iptables 1.2.7a版的manpage有说起 -c选项，然而该选项本质是却不生存。============================表《16》：iptables子吩咐选项过滤前提与目的iptable内建了少量几种过滤前提（match）与目的(target)，其余再有一组夸大模块，当你的准则中参考它们时，它们才会被纵然戴入。基础上，iptables只内建对于ip协议自己的过滤前提，其他过滤前提都是以夸大模组的情势生存，纵然是icmp、udp、tcp这类以ip协议为普通的协议，也必需运用 -p选项指定关系和议（icmp、tcp和udp），才会载入对应的过滤前提模组。本节逐个证明iptables1.2.7a版内建的一切过滤前提，以及特殊的match/target夸大模组。——————————————————————窍门很多挑选前提的选项，承诺你创造「不可立前提」，也即是过滤出不适合前提的封包。刻画这类「不可立前提」的语法，是在选项之前加注一个赞叹号(本来是『! 』赞叹号的前后各有一个空缺宇元)。对于承诺反向意旨的选项，本画册以『[!]』标记来表白．本画册只证明选项的创造前提，请大师本人推导「不可立前提」的意旨。——————————————————————网际协议(ipv4)挑选前提鉴于本画册的字典式编排作风，对于iptables内建的ip过滤前提，详列于稍后的《ipv4过滤条》末节。accept目的accept是iptables内建的目的（处置办法）之一，其效率是中断暂时链结连接处置适合前提的包，将包交给规范过程（见图1 ~ 3 、表4 ~ 7）的下一个表格与链结。惟有accept与drop不妨当成内建链结的预设策略。ah过滤前提ah 夸大模组使iptables能以ipsec协议的authentication heade（ah）security parameters index （spi）栏位为过滤前提。包的手段地地方与spi栏位两者共通形成所谓的「security association」(sa)。本模组必需搭配 -p ah（或-p ipv6-auth或-p 51）协议选项运用。《表17》是ah过滤前提独一的选项。————————————————————窍门本过滤前提必需在中心救济config_ip_nf_match_ah_esp组态时才灵验。————————————————————典型：iptables -a input -p ah -m ah - -ahspi 500 -j drop 对于ipv6协议，请参见《ipv6 essentials》（silvia hagen著o reilly出书）。关系参考：《esp过滤前提》。connmark过滤前提以封包的联机标志(connection mark)为过滤前提。《表18》证明其独一的选项。关系参考：《connmark目的》connmark目的设定包的连线标志（connection mark）。《表19》证明此目的的选项。关系参考：《connmark过滤前提》。conntrack过滤前提以联机蹑踪体制所保护的消息为过滤前提。《表20》证明本过滤前提的选项。——————————————————————窍门本过滤前提必需在中心救济config_ip_nf_match_conntrack组态时才灵验。——————————————————————dnat目的窜改封包的手段地地方/通信端口，而到达「手段地网址转译」(dnat)的功效。即使同声指定多个手段地的位置址则联时机被均派到那些地方。运用联机蹑踪资源讯息，可保证属于同一联机的一切封包，会被导送给同一个手段田主机与通信端口。《表21》是dnat目的的选项。dnat目的只能出此刻nat表格的prerouting和output举例来说，假布防火墙贯穿internet的介面上eth0，若要未来自internet的http request（tcp包、手段端口为port 80）转接到里面搜集上的192.168.1.80网站效劳器：iptables -t nat -a prerouting -i eth0 -p tcp - -dport 80-j dnat - -to-destination 192.168.1.80=================================提防：实行这类dnat时，还必需统筹运用层的兼容题目，比如祝，让dns辨别对里面搜集与internet供给各别的地方消息，让里面搜集上的其它长机不妨运用同样称呼来径直存取web server．而不用绕一圈过程风火墙(或闸道器)。=================================关系参考：●《redirect目的》：转接到本机的另一个通信端口。●《snat目的》：只窜改根源位址的特出nat操纵（source nat）。●《nth过滤前提》：可用来实行负载平稳的另一个方法。drop目的drop是iptables内建的目的(处置办法）之一。其效率是督促中心中断处置暂时的链结，也不让也不让其它场合接办处置该包：原发讯方不会收就任何报告。惟有drop和accept目的可用来当成内建链结的预设策略。即使蓄意在抛弃封包时，让送讯方赢得icmp报告，请改用reject目的(参见《reject目》)。dscp过滤前提本模块以ipv4 header的differentiated services codepoint（dscp）栏位值为过滤包的前提。dscp字段是ipv4 header的tos字节的从新解释。《表22》证明dscp过滤前提的选项。---------------------------------------------窍门本过滤前提必需在中心救济config_ip_nf_match_dscp组态时才灵验.---------------------------------------------注译：package ：“封包”或称谓为“包”filter ： 挑选或 过滤