
平臺(tái) 論壇博客文庫

› 論壇 › 操作系統(tǒng) › Linux論壇 › 網(wǎng)絡(luò)與硬件 › 關(guān)于iptables

12 / 2 頁

關(guān)于iptables [復(fù)制鏈接]

zxz0220

稍有積蓄

論壇徽章:: 0

11樓 [報(bào)告]

發(fā)表于 2005-04-05 17:41 |只看該作者

關(guān)于iptables

還有個(gè)問題，這樣做確實(shí)可以了，但為什么網(wǎng)頁開得非常慢？

實(shí)戰(zhàn)分享：從技術(shù)角度談機(jī)器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

platinum

廣告殺手

論壇徽章:: 0

12樓 [報(bào)告]

發(fā)表于 2005-04-05 17:43 |只看該作者

關(guān)于iptables

試試再說呢？
我不敢肯定UDP是否也受這個(gè)限制
理論上應(yīng)該和UDP無關(guān)的，不過我實(shí)在想不出你這個(gè)規(guī)則除了這里和我的不同以外其他還差在哪

另外，你把INPUT鏈和FORWARD鏈的數(shù)據(jù)包混合處理，不覺得亂嗎？
INPUT和FORWARD的工作機(jī)制都不一樣，一個(gè)是防止進(jìn)入服務(wù)器的，一個(gè)是防止經(jīng)過服務(wù)器的，你一起處理，我不敢保證有什么問題，也從來沒這么做過，也沒見別人這么做過……

實(shí)戰(zhàn)分享：從技術(shù)角度談機(jī)器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

zxz0220

稍有積蓄

論壇徽章:: 0

13樓 [報(bào)告]

發(fā)表于 2005-04-05 17:51 |只看該作者

關(guān)于iptables

原帖由 "platinum" 發(fā)表：
試試再說呢？
我不敢肯定UDP是否也受這個(gè)限制
理論上應(yīng)該和UDP無關(guān)的，不過我實(shí)在想不出你這個(gè)規(guī)則除了這里和我的不同以外其他還差在哪

另外，你把INPUT鏈和FORWARD鏈的數(shù)據(jù)包混合處理，不覺得亂嗎？
INPUT和F..........

多謝老大，因?yàn)榻佑|iptables時(shí)間不是很長(zhǎng)，才剛看完你的部分關(guān)于iptables的文章，所有還沒有把思路理清晰，再仔細(xì)想想。非常感激老大的幫助

實(shí)戰(zhàn)分享：從技術(shù)角度談機(jī)器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

zxz0220

稍有積蓄

論壇徽章:: 0

14樓 [報(bào)告]

發(fā)表于 2005-04-06 10:15 |只看該作者

關(guān)于iptables

就是因?yàn)闆]有把子鏈分解清楚，所以導(dǎo)致了這些問題，按照過濾機(jī)制把FORWARD和INPUT鏈分別處理后，一切都正常了。我還按照platinum老大的文章加入了string、iprange、ipp2p這些模塊，經(jīng)過實(shí)驗(yàn)，都正常過濾了

實(shí)戰(zhàn)分享：從技術(shù)角度談機(jī)器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

platinum

廣告殺手

論壇徽章:: 0

15樓 [報(bào)告]

發(fā)表于 2005-04-06 10:22 |只看該作者

關(guān)于iptables

恭喜你：）
其實(shí)geoip模塊也很好，他可以用CN、JP等來表示國家的IP地址，你自己不用知道到底哪個(gè)國家的IP都是什么，GEOIP需要一個(gè)地址庫

iptables geoip match
Author: Samuel Jean <sjean@cookinglinux.org>;; Nicolas Bouliane <nib@cookinglinux.org>;
Status: Testing

This patch makes possible to match a packet
by its source or destination country.

GeoIP options:
      [!] --src-cc, --source-country country[,country,country,...]
                                                   Match packet coming from (one of)
                                                   the specified country(ies)

      [!] --dst-cc, --destination-country country[,country,country,...]
                                                   Match packet going to (one of)
                                                   the specified country(ies)

         NOTE: The country is inputed by its ISO3166 code.

The only extra files you need is a binary db (geoipdb.bin) & its index file (geoipdb.idx).
Both files are generated from a countries & subnets database with the csv2bin tool,
available at www.cookinglinux.org/geoip/. Both files MUST also be moved in /var/geoip/
as the shared library is statically looking for that pathname (ex.: /var/geoip/geoipdb.bin).