iptables问题

最新推荐文章于 2023-08-14 09:10:35 发布
最新推荐文章于 2023-08-14 09:10:35 发布
阅读量75 收藏
点赞数
文章标签: 网络
原文链接:http://www.cnblogs.com/gavinwu/p/3706059.html
版权

我配置了一条NAT规则实现端口转换, 进行测试。 每次测试后,用iptables -t nat -nvL 进行查看时, 发现pkts每次只加1, 但抓包时发现有6个包都进行了端口转换。 请问其余的5个包是何时进行端口转换的?

 

解决问题过程, 添加打印, 抓包。

 

(1) 在NF_HOOK, POST_ROUTING前加打印信息。

 

 (2) ChinaUnix论坛中, 瀚海书香的回复:

         NAT表只对NEW状态的数据包操作,之后的数据包直接根据conntrack信息进行相应的sip,dip等的替换

 (3)数据包状态研究:

         http://blog.chinaunix.net/uid-384966-id-2411274.html

         1: 概述

         1.a: 状态机制是iptables的一部分, 其实它只是一种连接跟踪机制。

         1.b: 运行连接跟踪的防火墙称为状态防火墙。

         1.c: 在iptables里, 包是和被跟踪连接的四种不同状态有关的。它们是NEWESTABLISHEDRELATEDINVALID。后面我们会深入地讨论每一个状态。使用--state匹配操作,我们能很容易地控制

               “谁或什么能发起新的会话”。

         1.d: 在内核中在内核中由Netfilter的特定框架做的连接跟踪称作conntrack(connection tracking). conntrack 可以作为模块安装, 也可以作为内核的一部分。这些模块从数据包中提取详细的唯一的信息,

                因此能保持对每一个数据流的跟踪。这些信息也告知conntrack流当前的状态。例如,UDP流一般由他们的目的地址、源地址、目的端口和源端口唯一确定。

         1.e:除了本地产生的包由OUTPUT链处理外,所有连接跟踪都是在PREROUTING链里进行处理的,意思就是, iptables会在PREROUTING链里从新计算所有的状态。如果我们发送一个流的初始化包,状态就会

              在OUTPUT链里被设置为NEW,当我们收到回应的包时,状态就会在PREROUTING链里被设置为ESTABLISHED。如果第一个包不是本地产生的,那就会在PREROUTING链里被设置为NEW状态。综上,

              所有状态的改变和计算都是在nat表中的PREROUTING链和OUTPUT链里完成的。

 

        2:conntrack 记录

            tcp 6 117 SYN_SENT src=192.168.1.6 dst=192.168.1.9 sport=32775 dport=22 [UNREPLIED] src=192.168.1.9 dst=192.168.1.6 sport=22  dport=32775 use=2

        2.a  十进制6, tcp协议号(17, udp协议号);

              117, 生存时间,它会有规律地被消耗,直到收到这个连接的更多的包。那时,这个值就会被设为当时那个状态的缺省值;

              SYN_SENT , TCP连接只在一个方向发了SYN包。

              源地址, 目的地址, 源端口, 目的端口。

              UNREPLIED: 这个连接没有收到任何回应。当一个连接在两个方向上都有传输时, conntrack记录就删除[UNREPLIED]标志, 然后重置。

              期望得到的包的源地址, 目的地址, 源端口, 目的端口。

              末尾有 ASSURED的记录表明两个方向已没有流量,  这样的记录是确定的, 在conntrack表满时时速不会被删除的, 没有ASSURED就要被删除。

 

             对于7620 抓到的相应记录是:

 ipv4 2 tcp 6 431997 ESTABLISHED src=192.168.1.18 dst=192.168.1.1 sport=50071 dport=80 src=10.10.10.10 dst=10.10.10.14 sport=80 dport=50071 [ASSURED] mark=0 use=2

ipv4 2 tcp 6 431997 ESTABLISHED src=192.168.1.18 dst=192.168.1.1 sport=50070 dport=80 src=10.10.10.10 dst=10.10.10.14 sport=80 dport=50070 [ASSURED] mark=0 use=2

 

          对于Miiicasa 抓到的相应记录如下, 记录正常:

pv4 2 tcp 6 418 ESTABLISHED src=192.168.1.18 dst=192.168.1.1 sport=52047 dport=80 src=10.10.10.10 dst=10.10.10.14 sport=80 dport=52047 [ASSURED] mark=0 use=1
ipv4 2 tcp 6 418 ESTABLISHED src=192.168.1.18 dst=192.168.1.1 sport=52045 dport=80 src=10.10.10.10 dst=10.10.10.14 sport=80 dport=52045 [ASSURED] mark=0 use=1

 

 

        2.b  

              

 

 

转载于:https://www.cnblogs.com/gavinwu/p/3706059.html

weixin_30408675
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables问题
weixin_43404791的博客
10-03 849
不要安装, 不要卸载iptables, 安装会导致NetNotFound,也就是无法ping, 需要重新开放端口, 卸载会导致service和docker全都被删除!!!
iptables的简单问题
10-29 101
iptables 设置linux 防火墙功能强大,但对于不熟系linux系统的人来说 ,防火墙设置够喝一壶,最近在本地配置台服务器,但,局域网的其他电脑老是访问不了,首先想到的是防火墙设置,将防火墙关闭后,果然和猜想一样,但是将防火墙关闭不是长久之事  资料来源:http://blog.csdn.net/windxxf/article/details/815973  编辑 /etc/sy
关于iptables学习相关的问题以及案例
最新发布
weixin_51182789的博客
08-14 1670
关于iptables的学习问题以及相关案例
【Linux系统】第16节 Linux系统iptables命令详解—包过滤规则和NAT网络地址转换
m0_64378913的博客
03-11 4757
目录1 iptables中的“四表五链”概述1.1 iptables中的“四表”1.2 iptables中的“五链”2 iptables命令详解及示例2.1 iptables命令语法规则2.2 ACTION动作2.3 COMMAND命令2.3.1 规则管理2.3.2 链管理2.3.3 查看规则2.4 匹配条件2.4.1 通用匹配条件2.4.2 隐含匹配条件2.4.3 显式扩展匹配条件2.5 iptables服务的重启、备份与保存3 NAT网络地址转换示例3.1 示例13.2
Linux之iptablesNAT表)讲解篇
qq_62311779的博客
06-18 4682
这是本人为了记录笔记而搜集整理的!!!!目录SNAT的数据流向过程:MASQUERADE(地址伪装)SNAT与MASQUERADE的区别: MASQUERADE例子:DNAT(目标地址址转换):DNAT的数据流向过程:SNAT+DNAT注意事项:——查看NAT表: ——查看iptables配置 SNAT(源地址转换):...
iptables详解:图文并茂理解iptables.pdf
05-18
iptables 防火墙 linux
Centos离线安装iptables.docx
04-15
### Centos离线安装iptables详解 #### 一、前言 在CentOS系统中,iptables是用于设置网络规则的重要工具之一。然而,在某些情况下,由于网络环境限制或安全考虑,我们可能...希望本文能帮助到遇到类似问题的朋友。
解决iptables文件丢失问题
11-03
解决centos7的iptabels 文件丢失的问题
iptables配置(/etc/sysconfig/iptables)操作方法
01-20
iptables -A INPUT -p tcp –dport 22 -j ACCEPT iptables -A INPUT -p tcp –dport 22 -j ACCEPT iptables -A OUTPUT -p tcp –sport 22 -j ACCEPT #保存 sudo /etc/rc.d/init.d/iptables save 或 sudo service ...
解决docker安装完成报:bridge-nf-call-iptables is disabled问题
01-20
WARNING: bridge-nf-call-iptables is disabled WARNING: bridge-nf-call-ip6tables is disabled 2)解决方法: 修改系统文件是的机器bridge模式开启 设置机器开机启动的时候执行下面两条命令 编辑vim /etc/rc.d/rc...
网络
weixin_30439031的博客
08-16 119
网络篇 - 不定期更新 route route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.4.4.62 route del -net 10.0.0.0 netmask 255.0.0.0 gw 10.4.4.62 route add default gw 172.16.130.22 route del default ...
iptables使用详解
热门推荐
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
iptables(四)iptables案例实战
wzj_110的博客
10-01 835
iptables的CURD (1)查看 iptables [-t tables] [-L] [-nv] -t :后面接'table',例如 nat 或 filter,若省略此项目,则使用'默认的 filter' -L :列出-->'list''某个 table 的所有链'或某个'链的规则' -n :以'数字-->number的形式'直接显示 IP,速度会快很多 -v :列出'更多的信息-->verbose',包括通过该规则的数据包总位数、相关的网络接口等 --------..
iptables简单使用
天好蓝
04-16 1097
IPTabls 1. > service iptables stop 开启ip_forward > echo '1'>/proc/sys/net/ipv4/ip_forward > iptables -nvL --line-number -t natiptables -nvL --line-number -t filter -L 查看当前表的所有规则,默认查看的
iptables+NAT专题学习(kvm+VMware)
tiging的博客
03-24 5168
iptables基础操作(必学) ## 查看规则 iptables -nL iptables -nL -t nat iptables -nL -v --line-numbers -t filter 表filter带行号带流量数据 iptables -nL --line-numbers 带行号 ## 删除指定表指定链的指定行数据 iptables -t nat -D POSTROUTING 1 iptables -D FORWARD 7 -t filter ## 清空所有规则【...
iptables命令
leechm的博客
07-21 847
iptables命令的管理控制选项 -A 在指定链的末尾添加(append)一条新的规则 -D 删除(delete)指定链中的某一条规则,可以按规则序号和内容删除 -I 在指定链中插入(insert)一条新的规则,默认在第一行添加 -R 修改、替换(replace)指定链中的某一条规则,可以按规则序号和内容替换 -L 列出(list)指定链中所有的规则进行查看 -E 重命名用户定义的链,不改变链本身 -F 清空(flush) -N 新建(new-chain)一条用户自己定义的规...
关于iptables 对防火墙和NAT的一些操作
舒哥的blog
05-14 852
filteriptables -t filter -A{I, D} INPUT{OUTPUT, FORWARD} {n} -p tcp {!} -s 192.168.0.0/24 --sport m:n -- dport x:y -j ACCEPT{DROP, REJECT}iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTP
Iptables入门与深入解析
Iptables指南深入解析了Linux防火墙管理工具的基础与高级用法。该指南由Oskar Andreasson撰写,旨在为读者提供从入门到精通的知识,适合对网络安全有兴趣的系统管理员和IT专业人士。文章按照逻辑结构展开,首先介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值