iptable表鏈關(guān)系-創(chuàng)新互聯(lián)

1、在生產(chǎn)中selinux 是關(guān)閉的。iptables 根據(jù)環(huán)境，內(nèi)網(wǎng)關(guān)閉，外網(wǎng)開啟。如果是大并發(fā)的情況，不開啟iptables.

2、/var/log/messages 出現(xiàn)kernel：nf_conntrack:table full,dropping packet  是因為業(yè)務(wù)訪問慢造成的
    優(yōu)化：
         net.nf_conntrack_max = 25000000
         net.netfilter.nf_conntrack_max = 25000000
    #表池調(diào)大
        net.netfilter.nf_conntrack_tcp_timeout_established = 180
        net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
        net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
        net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
    #超時時間調(diào)小

創(chuàng)新互聯(lián)公司于2013年成立，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項目成都網(wǎng)站設(shè)計、網(wǎng)站建設(shè)網(wǎng)站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元歷城做網(wǎng)站,已為上家服務(wù),為歷城各地企業(yè)和個人服務(wù),聯(lián)系電話:18982081108

3、Netfilter /iptables 是基于包過濾的防火墻。安全性比老一輩的ipfwadm、ipchains 強大很多，主

  要工作在二、三、四層。如果重新編譯內(nèi)核，也可以支持七層控制。

4、容器：包含或者說屬于的關(guān)系
   Netfilter /iptables 是表的容器。（filter、NAT、mangle、raw）

  iptanles tables是chains的容器

  （INPUT(進入)、OUTPUT（出）、FORWARD（轉(zhuǎn)發(fā)）、PREROUTING（預(yù)路由）、POSTROUTING（出路由））

  chins：是policy（規(guī)則）的容器。

5、FILTER 表（默認(rèn)）： 真正負(fù)責(zé)主機防火墻的（過濾主機流入主機的數(shù)據(jù)包）
       INPUT ：負(fù)責(zé)過濾所有目標(biāo)地址是本機地址的數(shù)據(jù)包
         OUTPUT：處理所有源地址是本機地址的數(shù)據(jù)包
         FORWARD ：負(fù)責(zé)轉(zhuǎn)發(fā)流經(jīng)主機的數(shù)據(jù)包； lvs NAT模式 （net.ipv4.ip_forward=0）

6、NAT 表：負(fù)責(zé)網(wǎng)絡(luò)地址轉(zhuǎn)換，即來源與目的ip地址和port的轉(zhuǎn)換。，一般用于局域共享上網(wǎng)或者特殊端口轉(zhuǎn)換。
       OUTPUT ：改變主機發(fā)出數(shù)據(jù)包的目的地址。
         PREROUTING：在數(shù)據(jù)包到達防火墻是進行路由判斷之前執(zhí)行規(guī)則,作用改變數(shù)據(jù)包的目的地址、目前端口
         POSTROUTING: 在數(shù)據(jù)包在離開防火墻時進行路由判斷之前執(zhí)行規(guī)則 改變數(shù)據(jù)包的源地址，源端口。

7、防火墻是層層過濾的，實際是按照配置規(guī)則的順序從上到下，從前到后進行匹配的。
   如果匹配上規(guī)則，即明確表名是阻止還是通過，數(shù)據(jù)包就不在向下匹配新規(guī)則了

  如果所有規(guī)則中沒有明確表明是阻止還是通過，也就是沒有匹配規(guī)則，向下進行匹配 ，直到匹配默認(rèn)

  規(guī)則得到明確的阻止還是通過。

  防火墻默認(rèn)規(guī)則是所有的規(guī)則執(zhí)行完才會執(zhí)行。

8、iptables的工作流程圖。

                           FILTER          ============>            MANGLE

                                 INPUT            內(nèi)核                  OUTPUT

                           ∧                                ∨

                           ∧                                NAT

                          MANGLE                                      OUTPUT 

                          INPUT                               ∨

                           ∧                            FILTER OUTPUT

                           ∧                                ∨

   MANGLE    ======> NAT  ======== ==== >MANGLE =======>FILTER============>MANGLE========---->NAT

  PREROUTING     PREROUTING  FORWORD   FORWARD       FORWARD           POSTROUTING    POSTROUTING

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)建站bm7419.com，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

分享題目：iptable表鏈關(guān)系-創(chuàng)新互聯(lián)
URL網(wǎng)址：http://bm7419.com/article42/hsghc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁設(shè)計公司、搜索引擎優(yōu)化、微信公眾號、小程序開發(fā)、商城網(wǎng)站、響應(yīng)式網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)