1、在生產(chǎn)中selinux 是關(guān)閉的。iptables 根據(jù)環(huán)境，內(nèi)網(wǎng)關(guān)閉，外網(wǎng)開(kāi)啟。如果是大并發(fā)的情況，不開(kāi)啟iptables.

2、/var/log/messages 出現(xiàn)kernel：nf_conntrack:table full,dropping packet  是因?yàn)闃I(yè)務(wù)訪(fǎng)問(wèn)慢造成的
    優(yōu)化：
         net.nf_conntrack_max = 25000000
         net.netfilter.nf_conntrack_max = 25000000
    #表池調(diào)大
        net.netfilter.nf_conntrack_tcp_timeout_established = 180
        net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
        net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
        net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
    #超時(shí)時(shí)間調(diào)小

創(chuàng)新互聯(lián)公司于2013年成立，是專(zhuān)業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目成都網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命，1280元?dú)v城做網(wǎng)站,已為上家服務(wù),為歷城各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話(huà):18982081108

3、Netfilter /iptables 是基于包過(guò)濾的防火墻。安全性比老一輩的ipfwadm、ipchains 強(qiáng)大很多，主

  要工作在二、三、四層。如果重新編譯內(nèi)核，也可以支持七層控制。

4、容器：包含或者說(shuō)屬于的關(guān)系
   Netfilter /iptables 是表的容器。（filter、NAT、mangle、raw）

  iptanles tables是chains的容器

  （INPUT(進(jìn)入)、OUTPUT（出）、FORWARD（轉(zhuǎn)發(fā)）、PREROUTING（預(yù)路由）、POSTROUTING（出路由））

  chins：是policy（規(guī)則）的容器。

5、FILTER 表（默認(rèn)）： 真正負(fù)責(zé)主機(jī)防火墻的（過(guò)濾主機(jī)流入主機(jī)的數(shù)據(jù)包）
       INPUT ：負(fù)責(zé)過(guò)濾所有目標(biāo)地址是本機(jī)地址的數(shù)據(jù)包
         OUTPUT：處理所有源地址是本機(jī)地址的數(shù)據(jù)包
         FORWARD ：負(fù)責(zé)轉(zhuǎn)發(fā)流經(jīng)主機(jī)的數(shù)據(jù)包； lvs NAT模式 （net.ipv4.ip_forward=0）

6、NAT 表：負(fù)責(zé)網(wǎng)絡(luò)地址轉(zhuǎn)換，即來(lái)源與目的ip地址和port的轉(zhuǎn)換。，一般用于局域共享上網(wǎng)或者特殊端口轉(zhuǎn)換。
       OUTPUT ：改變主機(jī)發(fā)出數(shù)據(jù)包的目的地址。
         PREROUTING：在數(shù)據(jù)包到達(dá)防火墻是進(jìn)行路由判斷之前執(zhí)行規(guī)則,作用改變數(shù)據(jù)包的目的地址、目前端口
         POSTROUTING: 在數(shù)據(jù)包在離開(kāi)防火墻時(shí)進(jìn)行路由判斷之前執(zhí)行規(guī)則 改變數(shù)據(jù)包的源地址，源端口。

7、防火墻是層層過(guò)濾的，實(shí)際是按照配置規(guī)則的順序從上到下，從前到后進(jìn)行匹配的。
   如果匹配上規(guī)則，即明確表名是阻止還是通過(guò)，數(shù)據(jù)包就不在向下匹配新規(guī)則了

  如果所有規(guī)則中沒(méi)有明確表明是阻止還是通過(guò)，也就是沒(méi)有匹配規(guī)則，向下進(jìn)行匹配 ，直到匹配默認(rèn)

  規(guī)則得到明確的阻止還是通過(guò)。

  防火墻默認(rèn)規(guī)則是所有的規(guī)則執(zhí)行完才會(huì)執(zhí)行。

8、iptables的工作流程圖。

                           FILTER          ============>            MANGLE

                                 INPUT            內(nèi)核                  OUTPUT

                           ∧                                ∨

                           ∧                                NAT

                          MANGLE                                      OUTPUT 

                          INPUT                               ∨

                           ∧                            FILTER OUTPUT

                           ∧                                ∨

   MANGLE    ======> NAT  ======== ==== >MANGLE =======>FILTER============>MANGLE========---->NAT

  PREROUTING     PREROUTING  FORWORD   FORWARD       FORWARD           POSTROUTING    POSTROUTING

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)建站www.rwnh.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線(xiàn)，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿(mǎn)足用戶(hù)豐富、多元化的應(yīng)用場(chǎng)景需求。

分享題目：iptable表鏈關(guān)系-創(chuàng)新互聯(lián)
URL網(wǎng)址：http://www.rwnh.cn/article42/hsghc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁(yè)設(shè)計(jì)公司、搜索引擎優(yōu)化、微信公眾號(hào)、小程序開(kāi)發(fā)、商城網(wǎng)站、響應(yīng)式網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)