iptables中mangle和filter中的forward有什么區(qū)別？

5639863

這幾天研究iptables，可是不太明白mangle表是做什么用的，在什么情況下才會(huì)用到這個(gè)表呢？還有filter表中的FORWARD。如果用iptables做策略上網(wǎng)，如果要做限制應(yīng)該在哪個(gè)表里面做呢？版主的那個(gè)貼子看了不太明白，請(qǐng)大家通俗的講講，謝謝！

ssffzz1

mangle表，一般是對(duì)數(shù)據(jù)包進(jìn)行修改用的。
通�？梢栽趂ilter的forward鏈做，當(dāng)然你一定要在mangle里做也不是不可以，但是他們過濾的位置不一樣的。
具體的參見IPTABLES指南。

5639863

[root@yxlas43 ~]# iptables  -vnL  FORWARD
Chain FORWARD (policy DROP 1 packets, 57 bytes)
pkts bytes target     prot opt in     out     source               destination
25545 3145K ACCEPT     0    --  *      *       172.16.15.253        0.0.0.0/0
    1   536 DROP       tcp  --  *      *       172.16.0.0/16        0.0.0.0/0           ctstate INVALID
  588 31152 DROP       tcp  --  *      *       172.16.0.0/16        0.0.0.0/0           #conn/32 > 100
    0     0 DROP       udp  --  *      *       172.16.1.33          0.0.0.0/0           udp spts:10240:65535
    0     0 DROP       tcp  --  *      *       172.16.1.33          0.0.0.0/0           tcp spts:10240:65535
48633 3113K DROP       tcp  --  *      *       172.16.1.33          0.0.0.0/0           tcp dpts:10240:65535
44245 3998K DROP       udp  --  *      *       172.16.1.33          0.0.0.0/0           udp dpts:10240:65535
    0     0 DROP       0    --  *      *       0.0.0.0/0            219.129.216.193
    0     0 DROP       0    --  *      *       0.0.0.0/0            125.91.6.111
    0     0 DROP       0    --  *      *       0.0.0.0/0            125.91.6.36
   39  2304 DROP       0    --  *      *       0.0.0.0/0            60.190.31.10
38238 5620K DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0           ipp2p v0.8.1_rc1 --kazaa --gnu --edk --dc --bit --apple --soul --winmx --ares
  35M   22G eth0_fwd   0    --  eth0   *       0.0.0.0/0            0.0.0.0/0
  28M   20G eth1_fwd   0    --  eth1   *       0.0.0.0/0            0.0.0.0/0
  871 42100 Reject     0    --  *      *       0.0.0.0/0            0.0.0.0/0
  871 42100 reject     0    --  *      *       0.0.0.0/0            0.0.0.0/0
[root@yxlas43 ~]# iptables -t mangle -vnL PREROUTING
Chain PREROUTING (policy ACCEPT 63M packets, 42G bytes)
pkts bytes target     prot opt in     out     source               destination
1717 96543 ACCEPT     udp  --  *      *       172.16.15.253        0.0.0.0/0
37595 4696K ACCEPT     0    --  *      *       172.16.15.253        0.0.0.0/0
329K  301M DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate INVALID
599K   40M DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           #conn/32 > 100
607K   41M DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spts:10240:65535
  63M   42G tcpre      0    --  *      *       0.0.0.0/0            0.0.0.0/0
應(yīng)該是同樣的策略，但在不同的表中得到的結(jié)果卻不同？

5639863

由這張圖可不可以這樣認(rèn)為mangle表中的PREROUTING要先于nat 表中的PREROUTING 和 filter表中的FORWARD的呢？

ssffzz1

應(yīng)該是的。

5639863

謝謝ssffzz1

platinum

原帖由 5639863 于 2007-8-17 20:25 發(fā)表
由這張圖可不可以這樣認(rèn)為mangle表中的PREROUTING要先于nat 表中的PREROUTING 和 filter表中的FORWARD的呢？

PREROUTING 和 FORWARD 沒有可比性，PREROUTING 一定先于 FORWARD
你應(yīng)該問：mangle 的 PREROUTING 是否優(yōu)先于 nat 的 PREROUTING？
或者：mangle 的 FORWARD 是否優(yōu)先于 filter 的 FORWARD？
答案是：是的

從 netfilter 的內(nèi)核代碼看，各個(gè)處理流程的優(yōu)先級(jí)如下

1. 
   
2. enum nf_ip_hook_priorities {
   
3.         NF_IP_PRI_FIRST = INT_MIN,
   
4.         NF_IP_PRI_CONNTRACK = -200,
   
5.         NF_IP_PRI_BRIDGE_SABOTAGE_FORWARD = -175,
   
6.         NF_IP_PRI_MANGLE = -150,
   
7.         NF_IP_PRI_NAT_DST = -100,
   
8.         NF_IP_PRI_BRIDGE_SABOTAGE_LOCAL_OUT = -50,
   
9.         NF_IP_PRI_FILTER = 0,
   
10.         NF_IP_PRI_NAT_SRC = 100,
    
11.         NF_IP_PRI_LAST = INT_MAX,
    
12. };
    

復(fù)制代碼

可見，nat 在 mangle 之后，而 nat 中又有 NAT_DST（PREROUTING）和 NAT_SRC（POSTROUTING）
其他部分優(yōu)先級(jí)見上面的枚舉結(jié)構(gòu)

[ 本帖最后由 platinum 于 2007-8-18 08:18 編輯 ]

5639863

謝謝，看來我對(duì)IPTABLES還是很不了解啊。謝謝指正！