1、在生產(chǎn)中selinux 是關(guān)閉的。iptables 根據(jù)環(huán)境，內(nèi)網(wǎng)關(guān)閉，外網(wǎng)開啟。如果是大并發(fā)的情況，不開啟iptables.

2、/var/log/messages 出現(xiàn)kernel：nf_conntrack:table full,dropping packet  是因?yàn)闃I(yè)務(wù)訪問慢造成的
    優(yōu)化：
         net.nf_conntrack_max = 25000000
         net.netfilter.nf_conntrack_max = 25000000
    #表池調(diào)大
        net.netfilter.nf_conntrack_tcp_timeout_established = 180
        net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
        net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
        net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
    #超時(shí)時(shí)間調(diào)小

成都創(chuàng)新互聯(lián)公司一直秉承“誠信做人，踏實(shí)做事”的原則，不欺瞞客戶，是我們最起碼的底線！ 以服務(wù)為基礎(chǔ)，以質(zhì)量求生存，以技術(shù)求發(fā)展，成交一個(gè)客戶多一個(gè)朋友！為您提供成都做網(wǎng)站、成都網(wǎng)站建設(shè)、成都網(wǎng)頁設(shè)計(jì)、小程序設(shè)計(jì)、成都網(wǎng)站開發(fā)、成都網(wǎng)站制作、成都軟件開發(fā)、APP應(yīng)用開發(fā)是成都本地專業(yè)的網(wǎng)站建設(shè)和網(wǎng)站設(shè)計(jì)公司，等你一起來見證！

3、Netfilter /iptables 是基于包過濾的防火墻。安全性比老一輩的ipfwadm、ipchains 強(qiáng)大很多，主

   要工作在二、三、四層。如果重新編譯內(nèi)核，也可以支持七層控制。

4、容器：包含或者說屬于的關(guān)系
   Netfilter /iptables 是表的容器。（filter、NAT、mangle、raw）

   iptanles tables是chains的容器

   （INPUT(進(jìn)入)、OUTPUT（出）、FORWARD（轉(zhuǎn)發(fā)）、PREROUTING（預(yù)路由）、POSTROUTING（出路由））

   chins：是policy（規(guī)則）的容器。

5、FILTER 表（默認(rèn)）： 真正負(fù)責(zé)主機(jī)防火墻的（過濾主機(jī)流入主機(jī)的數(shù)據(jù)包）
       INPUT ：負(fù)責(zé)過濾所有目標(biāo)地址是本機(jī)地址的數(shù)據(jù)包
         OUTPUT：處理所有源地址是本機(jī)地址的數(shù)據(jù)包
         FORWARD ：負(fù)責(zé)轉(zhuǎn)發(fā)流經(jīng)主機(jī)的數(shù)據(jù)包； lvs NAT模式 （net.ipv4.ip_forward=0）

6、NAT 表：負(fù)責(zé)網(wǎng)絡(luò)地址轉(zhuǎn)換，即來源與目的ip地址和port的轉(zhuǎn)換。，一般用于局域共享上網(wǎng)或者特殊端口轉(zhuǎn)換。
       OUTPUT ：改變主機(jī)發(fā)出數(shù)據(jù)包的目的地址。
         PREROUTING：在數(shù)據(jù)包到達(dá)防火墻是進(jìn)行路由判斷之前執(zhí)行規(guī)則,作用改變數(shù)據(jù)包的目的地址、目前端口
         POSTROUTING: 在數(shù)據(jù)包在離開防火墻時(shí)進(jìn)行路由判斷之前執(zhí)行規(guī)則 改變數(shù)據(jù)包的源地址，源端口。

7、防火墻是層層過濾的，實(shí)際是按照配置規(guī)則的順序從上到下，從前到后進(jìn)行匹配的。
   如果匹配上規(guī)則，即明確表名是阻止還是通過，數(shù)據(jù)包就不在向下匹配新規(guī)則了

   如果所有規(guī)則中沒有明確表明是阻止還是通過，也就是沒有匹配規(guī)則，向下進(jìn)行匹配 ，直到匹配默認(rèn)

   規(guī)則得到明確的阻止還是通過。

   防火墻默認(rèn)規(guī)則是所有的規(guī)則執(zhí)行完才會(huì)執(zhí)行。

8、iptables的工作流程圖。

                             FILTER          ============>            MANGLE

                                   INPUT            內(nèi)核                  OUTPUT

                            ∧                                ∨

                            ∧                                NAT

                           MANGLE                                      OUTPUT 

                           INPUT                               ∨

                            ∧                            FILTER OUTPUT

                            ∧                                ∨

    MANGLE    ======>  NAT  ======== ==== >MANGLE =======>FILTER============>MANGLE========---->NAT

   PREROUTING      PREROUTING  FORWORD   FORWARD        FORWARD           POSTROUTING    POSTROUTING

   

文章標(biāo)題：iptable表鏈關(guān)系
文章源于：http://chinadenli.net/article26/ppcejg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App設(shè)計(jì)、品牌網(wǎng)站建設(shè)、域名注冊(cè)、網(wǎng)頁設(shè)計(jì)公司、靜態(tài)網(wǎng)站、企業(yè)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)