chengonghao的博客

Iptables基本语法格式：          Iptables[-t table] command chain [critiria] –j action; 1.        1. -t  指定表名，表名就是功能名，iptables共有四种功能：raw、mangle、nat、filter。默认是filter 2.        command：对链中规则进行管理： -A：append，

防火墙工作在网络边缘。          防火墙分类为软件防火墙和硬件防火墙。 软件防火墙的类型： 1.      包过滤型防火墙：主要在网络层和传输层实现（2,3,4层）。包过滤防火墙又分为两类。 1.1 简单包过滤防火墙，直接根据报文首部的某些属性作为匹配规则进行检测。匹配源IP，目标IP，源端口，目标端口等。 1.2 带状态检查的包过滤防火墙，简单包过滤无法追踪数据包的状态，这里的

TCP的状态用来描述主机处于何种逻辑次序当中。 三次握手时： 1．  刚开始时，客户端和服务器端没用建立连接，双方的状态都是closed。同时服务器端开着监听。 2．  客户端发起连接请求，SYN_SEND。这是客户端的第一个报文，该报文sequence number（序列号），没有acknowledge number（确认号），而且TCP首部的标志位中SYN = 1，A

自定义一条链： [root@redhat4 ~]# iptables -N come_in #       链名叫做come_in   查看链： [root@redhat4 ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot optsource destination

横着看，每四个字节（32位）为一个元组。可能有n个元组来定义IP首部。 1.      IP version：IP v4、IP v6； 2.      Hdr len：IP首部的长度，IP首部的长度是可变的，因为有一些选项（options）选项填与不填可能使得IP首部变化； 3.      Type of Service：服务类型，虽然都是发送报文，但是对报文的要求是可靠到达、优先到达还是快

除了要标记从源主机到目的主机之外，还有标记从源进程到目的进程。标记从源进程到达目的进程靠的就是TCP和UDP报文。进程间的通信是靠TCP来解决的。因此在IP报文里还有封装一个首部。 TCP和UDP主要是控制从进程到进程的通信。 为了标记源进程和目的进程，我们使用端口。端口号是用16位来标识的，所以说端口的最大范围就是从0到65535了。 源端口一般是随机的端口，而目标端口，如果接收方是服

发送方和接收方的第一次使用的序列号都是随机产生的。之后就是在序列号的值上加1。而确认号都是对方的上一个序列号加1。 连接建立以前，请求方先发一个连接请求。TCP三次握手，唯一没有确认的是第一次，第一次没有确认号，只有发送方的序列号。 1.      假如请求方发送序列号1000，请求与接收方建立连接。 2.      接收方收到请求之后，发送确认号（1001）和接收方自己的序列号，接收方第一

网关分为应用层网关和网络层网关。          网络层的路由根据网络层的首部来判定该怎么选路，该怎么走。          应用层的路由根据应用层的首部来判定该怎么选路，该怎么走。          而负载均衡设备就是根据传输层的首部信息来判定该选择哪个端口，根据选择的端口进行路由。比如请求80端口，80端口后面接了三个web服务器，然后重新封装IP地址，再传输到特定的web服务器上。传