参考:
五个拦截点hook points:
拦截点 | 处理的包 |
---|---|
PREROUTING | 刚刚抵达网络界面的有效包 |
INPUT | 即将交给本机的包 |
OUTPUT | 即将从网络界面发出的包 |
FORWARD | 通过闸道器的包,从一个界面进,从另一个界面出 |
POSTROUTING | 即将从网络界面发出的包 |
三大表格:
- net
- filter
- mangle
三大表格与五大拦截点对应关系:
net表格:
filter表格:
mangle表格:
内建目标:
目标 | 描述 |
---|---|
ACCEPT | 接受 |
DROP | 终结包的行程 |
QUEUE | 让包进入userspace |
RETURN | 返回 |
应用范围:
- Packet Filtering
- Accounting
- byte 封包总大小
- package counter 符合该条件规则的包数
- Connection tracking
- Package mangling
- Network Address Translation NAT
- SNAT
- DNAT
- Masquerading 伪装,一种特殊的SNAT
- Port Forwarding 通讯埠转接
- Load balancing 负载均衡
目录与文档:
- /etc/sysctl.conf
- /proc/net/ip_connect
- /proc/sys/net/ipv4/ip_conntrack_max
- /proc/sys/net/ipv4/ip_forward
常用配套工具:
- etheral
- nessus
- nmap
- ntop
- ping
- tcpdump
- traceroute
各种过滤条件:
......好多