|
|
Table 3-2. 以本地为源的包
Step Table Chain Comment
1 本地程序(比如,服务程序或客户程序)
2 路由判断,要使用源地址,外出接口,还有其他一些信息。
3 mangle OUTPUT 在这儿可以mangle包。建议不要在这儿做过滤,可能有副作用哦。
4 nat OUTPUT 这个链对从防火墙本身发出的包进行DNAT操作。
5 filter OUTPUT 对本地发出的包过滤。
6 mangle POSTROUTING 这条链主要在包DNAT之后(译者注:作者把这一次DNAT称作实际的路由,虽然在前面有一次路由。对于本地的包,一旦它被生成,就必须经过路由代码的处理,但这个包具体到哪儿去,要由NAT代码处理之后才能确定。所以把这称作实际的路由。),离开本地之前,对包 mangle。有两种包会经过这里,防火墙所在机子本身产生的包,还有被转发的包。
7 nat POSTROUTING 在这里做SNAT。但不要在这里做过滤,因为有副作用,而且有些包是会溜过去的,即使你用了DROP策略。
8 离开接口(比如: eth0)
9 在线路上传输(比如,Internet)
--------------------------------------------------------------------------------------
上面有一句话(加粗的)
nat OUTPUT 这个链对从防火墙本身发出的包进行DNAT操作。
1、这个话,我有点糊涂。 能否解释下这个DNAT的过程,或者举个例子来说。
2、这一步是否只对防火墙本身发出的包有效。最好举个防火墙本身发出的包的例子说明下。嘿嘿
3、这篇文章中,以本地为源的包,是否指firewall(iptables)所在的这台机器?是否就是网关吧。 |
|
IP卡
狗仔卡
发表于 2005-7-19 10:21:11
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡