Điểm:0

Tôi có nên thực hiện khớp trạng thái với iptables cho bảng nat không?

lá cờ gd

Tôi thường thấy rằng có một số quy tắc khớp trạng thái trong chuỗi của iptables, chẳng hạn như INPUT.

Tôi biết những gì họ đang làm, và tôi quan tâm đến điều đó

Tôi có nên làm tương tự cho các chuỗi của bảng NAT không?

Ví dụ: trong bộ định tuyến gia đình của tôi, tôi muốn nó chấp nhận ssh và cũng hoạt động như một bộ định tuyến NAT.

Nếu chúng ta có:

-A INPUT -m state --state LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j CHẤP NHẬN

tôi có nên làm theo để có hiệu suất tốt hơn không?

-t nat -A POSTROUTING -m state --state LIÊN QUAN, THÀNH LẬP -j MASQUERADE

-t nat -A POSTROUTING -s 192.168.1.0/24 -o wan0 -m state --state NEW -j MASQUERADE

tôi đoán rằng tôi nên KHÔNG PHẢI làm tương tự cho chuỗi POSTROUTING, nhưng Nên cho PHÍA TRƯỚC.

Cảm ơn!

Điểm:1
lá cờ za

Không, bạn không cần điều đó.

Quy tắc NAT động luôn sử dụng bảng conntrack. Vì vậy, điều này là vô ích (và sai). Các tự nhiên bảng chỉ được duyệt bởi đầu tiên gói của kết nối, vì vậy nó sẽ chỉ nhìn thấy --ctstate MỚI gói tin. Nó không bao giờ nhìn thấy --ctstate ĐÃ THÀNH LẬP các gói tin, bởi vì chúng không đi qua các quy tắc. Nếu gói được tìm thấy trong bảng tự nhiên của trình theo dõi kết nối, nó sẽ áp dụng bản dịch đã ghi và tiếp tục với bảng tiếp theo.

Việc xem xét trạng thái kết nối dường như hữu ích trong PHÍA TRƯỚC chuỗi, không có trong ĐẶT TRƯỚC hoặc SAU ĐƯỜNG, vì vậy hãy sử dụng nó trong BỘ LƯỚI PHÍA TRƯỚC hoặc FORWARD mangle những cái bàn.

Ghi chú bổ sung: tiểu bang mô-đun match đã lỗi thời và bị xóa khỏi kernel. Kết hợp thực tế được thực hiện với theo dõi mô-đun.Theo ý kiến ​​​​của tôi, tốt hơn là sử dụng nó một cách rõ ràng, vì vậy tốt hơn là luôn luôn sử dụng -m conntrack --ctstate ... đúng hơn là -m trạng thái.

Leon avatar
lá cờ gd
Cảm ơn rất nhiều!!!

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.