瑞风轻拂

一、连接跟踪的预备知识    连接跟踪的概念及作用，这里都不做介绍了。下面先说一下连接跟踪在Netfilter中起效的hook点以及对应的hook函数。[Copy to clipboard] [ - ]CODE:/* Connection tracking may drop packets, but never alters them, so   make it the f

Mangle是一个比较容易被人忽略的机制，而且Mangle的使用机会并不是很多，但如果需要时又不懂Mangle机制，也是件很麻烦的事，在此还是要说明一下Mangle机制。Mangle通过标记特定的IP数据流后，为Filter、NAT和、路由、Queue提供标记后的IP数据流。Mangle特点不管是QoS、防火墙、nat规则和路由，在许多特殊的应用中都会使用Man

常用命令列表：命令 -A, --append范例 iptables -A INPUT ...说明 新增规则到某个规则炼中，该规则将会成为规则炼中的最后一条规则。命令 -D, --delete范例 iptables -D INPUT --dport 80 -j DROPiptables -D INPUT 1 说明 从某个规则炼中删除一条规则，可以输入完整规则，或直接指定规

IPTables概述        IPTables是基于Netfilter基本架构实现的一个可扩展的数据报高级管理系统或核外配置工具，利用table、chain、rule三级来存储数据报的各种规则。Netfilter-iptables由两部分组成，一部分是Netfilter的"钩子"，另一部分则是知道这些钩子函数如何工作的一套规则--这些规则存储在被称为iptables的数据结构之中。钩子函

Netfilter概述         Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制，是linux内核的一个子系统。Netfilter采用模块化设计，具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中，Netfilter与IP协议栈是无缝契合的，并允许使用者对数据报进行过滤、地址转换

IPtables中可以灵活的做各种网络地址转换（NAT）网络地址转换主要有两种：SNAT和DNAT SNAT是source network address translation的缩写即源地址目标转换比如，多个PC机使用ADSL路由器共享上网每个PC机都配置了内网IPPC机访问外部网络的时候，路由器将数据包的报头中的源地址替换成路由器的ip当外部网络的服务器

连接跟踪定义很简单：用来记录和跟踪连接的状态。为什么又需要连接跟踪功能呢？因为它是状态防火墙和NAT的实现基础。Neftiler为了实现基于数据连接状态侦测的状态防火墙功能和NAT地址转换功能才开发出了连接跟踪这套机制。那就意思是说：如果编译内核时开启了连接跟踪选项，那么Linux系统就会为它收到的每个数据包维持一个连接状态用于记录这条数据连接的状态。接下来我们就来研究一下Netfilte

-m limit这个匹配操作必须由-m limit明确指定才能使用。有了它的帮助，就可以对指定 的规则的日志数量加以限制，以免你被信息的洪流淹没哦。比如，你可以事先设定一个限定值，当符合条件 的包的数量不超过它时，就记录；超过了，就不记录了。我们可以控制某条规则在一段时间内的匹配次数 （也就是可以匹配的包的数量），这样就能够减少DoS syn flood攻击的影响。这 是它的主要作用，当然

SPI防火墙设置，防火墙的作用防外不防内，也就是说对不是由你向internet发出的连接一律拦截。他可保证你的计算机的相对安全。如果你已经有软件防火墙了，如瑞星，诺顿什么的，你完全可以不用设置，因为现在的软件防火墙的功能远远比硬件防火墙的功能要高，当然设置更好。SPI(StatefulPacket Inspection) 为全状态数据包检测型防火墙，说明路由器自带全状态数据检测。SPI全状