iptables的几个概念

前两天玩emule,因为在内网,需要端口转发,顺便再了解了一下iptables的一些规则。
  1. 以前对filter中的INPUT链和nat中的PREROUTING有些搞不清,例如,如果INPUT的规则是DROP,那么对PREROUTING会有怎样的影响或是冲突。
    通过实验,应当是这样的,nat的PREROUTING链应当在filter之前,INPUT对PREROUTING的影响只是在于,如果PREROUTING修改过得目的地址如果仍然是本机的话,那么INPUT链将起作用,但如果PREROUTING修改的目的地址不是本机的话,那么就该是FORWARD链的规则控制了。
  2. 做端口转发,应当注意链路的完整性,进得来的要出得去。以amule为例,外部对4662端口的访问如下:
    进入:外部->proxy:4662->PREROUTING修改目的地址->FORWARD转发->amule:4662
    回应:amule:4662->proxy->POSTROUTING修改源地址->FORWARD转发->外部

    这儿应当注意的是,不管POSTROUTING和PREROUTING怎么设置,如果没有FORWARD链,内部和外部是不可能连通的。
  3. iptables的LOG命令是一个相当有用的东西,尤其是在调试iptables的规则的时候,可以用LOG来查看包是否依据规则流动。

评论

发表评论

此博客中的热门博文

激活华为光猫的小宇宙-openwrt

前言:     手头有一个华为的光猫 HS8145V,在补全Shell 的路上跌跌撞撞,终于在chinadsl论坛翻楼找到了适合的方法。在此感谢各路神仙的探索和无私的分享。在摸索的过程中,发现光猫本身的系统没有提供自启动应用的入口,如果想在光猫上玩些花样也无能为力。但发现光猫除了本身的系统外,为了实现运营商的需 求,还隐藏了一个openwrt 系统,我们倒是可以在这个系统里面,自由的做我们想做的事情。 使用前提: 要有运营商定制文件的华为光猫,比如说天翼智能网关(其它家没有试过)。 要有telnet,需要补全shell。 原理:     为了满足运营商的需求,除了光猫自己的管理界面外,华为的光猫还有一个系统,配合运营商的管理需求。而这个系统,是运行在容器中的 openwrt 系统,在我手头的 HS8145v 光猫里面,就在 mtd17、mtd18、mtd19 分区上,分别挂载在 /opt/upt/framework 和 /opt/upt/apps 下面。其中 framework 分区为只读,映射为 openwrt 的 rootfs分区, apps 分区为可读写,映射为openwrt 的overlayer,可用容量为90多M。在启动过程中,华为的 saf-huawei 程序会在容器内完整的启动这个 openwrt 系统。     所以,只要我们把需要的文件放入这个内嵌的openwrt 系统,就可以像操普通的 openwrt 系统一样了,比如说启动 dropbear,asterisk 等等。     在我的光猫里面,内嵌的openwrt 是 CC,所以我找的软件源是 openwrt cc for omap,源: http://archive.openwrt.org/chaos_calmer/15.05.1/omap/generic/ 操作过程: 要操openwrt 系统,当然首先是准备好 dropbear  1.1 首先禁用光猫自带的 dropbear,并开启防火墙的22端口,这一步编辑的文件是 /mnt/jffs2/hw_ctree.xml 文件,因为文件有加密,所以需要解密编辑之后,再加密放回去,注意先备份 hw_ctree.xml !。 cd /tmp cp /mnt/jffs2/hw_ctree.x
阅读全文

[Google Maps] Where are you from?

今天在 Google Maps 上一通好找,终于可以回答这个问题了。 I'm from here 哈哈,可惜图片分辨率还是不够,看不见俺家的屋顶,放到最大后,中间有一个黑点,俺家就在旁边。。。 不看地图,还真不知道俺家周围是这么多的水啊。
阅读全文

Debian: tor + privoxy

不知道 blogspot 是不是被封了,反正域名解析正常,就是没法直接访问。 看来大陆的防火墙技术还是很过关的。 但既然申请了blogger的帐号,不能不用吧?好在突破封锁并不太难。 Debian: tor + privoxy 概念 tor 是一个用来匿名上网,隐藏自己踪迹的工具,实际上就是通过数量众多的代理服务器来让你上网,代理服务器有tor来收集,你只需要配置好tor就OK,不用自己手动去找代理。 tor只提供了socks4的服务,要想让firefox通过tor上网,还必须配置privoxy,一个代理,将http的请求转发到tor的socks服务。 安装 基于Debian良好的软件包管理特性,只需要一条命令: $ sudo apt-get install tor privoxy 安装过程中会完成一些基本的配置 额外的配置 安装完成之后,只需要在 privoxy 的配置文件(/etc/privoxy/config)里头加一句: forward-socks4a / localhost:9050 . 别漏掉了点。 重新启动一下privoxy: $ sudo /etc/init.d/privoxy restart 设置firefox 打开firefox,在连接属性里面改为手动设置代理: host:localhost port:8118 就这样,firefox就可以上那些被屏蔽的网站了。
阅读全文