NetFilter/iptables防火墙设置(下)
2007-02-23 12:39:42 来源:WEB开发网核心提示: Chain PREROUTING (policy ACCEPT 238K packets, 25M bytes)pkts bytes targetprot opt in outsource destination407 21724 DNATtcp--eth1 anyanywhere 10.
Chain PREROUTING (policy ACCEPT 238K packets, 25M bytes)
pkts bytes target prot opt in out source destination
407 21724 DNAT tcp -- eth1 any anywhere 10.0.0.1 tcp dpt:smtp
to:192.168.1.254
1 48 DNAT tcp -- eth1 any anywhere 10.0.0.1 tcp dpt:pop3
to:192.168.1.254
681 39308 DNAT tcp -- eth1 any anywhere 10.0.0.1 tcp dpt:http
to:192.168.1.253
Chain POSTROUTING (policy ACCEPT 74279 packets, 5074K bytes)
pkts bytes target prot opt in out source destination
16058 979K SNAT all -- any eth1 192.168.1.0/24 anywhere to:10.0.0.1
Chain OUTPUT (policy ACCEPT 57342 packets, 4244K bytes)
pkts bytes target prot opt in out source destination
你可以看到符合策略的数据包的数量以及容量,还有符合每个表里每个链的每个规则的数据包的数量以及容量。我们可以找些重点,看看能不能将某些规则再优化一下。防火墙已经观测到你的内网转发了253M的传输,还有由内网发起建立的会话引入的681M传输。输出/输入的比率如此高,挺有趣的。你可能本来以为大多数出站请求的传输应该是小容量的,而入站响应应当是大容量的。这是由于我的邮件和网络服务器不会引起很多传输的注意。
看看我引进的拒绝DHCP规则多么有效。它丢弃了4350个数据包。如果没有这个规则或者它在记录规则之后的话,我就得多看4350行没用的记录。
剩余项
我们可以用iptables来建立在某一端口接收输入并将其转入到另一端口的规则:
更多精彩
赞助商链接