Linux防火墙之IPtables概念与用法

核心提示： 如果使用类似 192.168.0.0/24这样的地址，是不会从Internet得到任何回应的，Linux防火墙之IPtables概念与用法(3)，因为IANA定义这些网络（还有其他的）为私有的，只能用于LAN内部，它的存在有一个很好的理由，那就是我们可以欺骗一些ISP，MASQUERADE

如果使用类似 192.168.0.0/24这样的地址，是不会从Internet得到任何回应的。因为IANA定义这些网络（还有其他的）为私有的，只能用于LAN内部。

MASQUERADE的作用和MASQUERADE完全一样，只是计算机 的负荷稍微多一点。因为对每个匹配的包，MASQUERADE都要查找可用的IP地址，而不象SNAT用的IP地址是配置好的。当然，这也有好处，就是我们可以使用通过PPP、 PPPOE、SLIP等拨号得到的地址，这些地址可是由ISP的DHCP随机分配的。

Mangle

这个表主要用来mangle数据包。我们可以改变不同的包及包头的内容，比如 TTL，TOS或MARK。 注意MARK并没有真正地改动数据包，它只是在内核空间为包设了一个标记。防火墙内的其他的规则或程序（如tc）可以使用这种标记对包进行过滤或高级路由。这个表有五个内建的链： PREROUTING，POSTROUTING， OUTPUT，INPUT和 FORWARD。

PREROUTING在包进入防火墙之后、路由判断之前改变包，POSTROUTING是在所有路由判断之后。 OUTPUT在确定包的目的之前更改数据包。INPUT在包被路由到本地之后，但在用户空间的程序看到它之前改变包。注意，mangle表不能做任何NAT，它只是改变数据包的TTL，TOS或MARK，而不是其源目的地址。NAT是在nat表中操作的，以下是mangle表中仅有的几种操作：

◆ TOS

◆ TTL

◆ MARK

TOS操作用来设置或改变数据包的服务类型域。这常用来设置网络上的数据包如何被路由等策略。 注意这个操作并不完善，有时得不所愿。它在Internet上还不能使用，而且很多路由器不会注意到这个域值。换句话说，不要设置发往Internet的包，除非你打算依靠TOS来路由，比如用iproute2。

TTL操作用来改变数据包的生存时间域，我们可以让所有数据包只有一个特殊的TTL。它的存在有一个很好的理由，那就是我们可以欺骗一些ISP。为什么要欺骗他们呢？因为他们不愿意让我们共享 一个连接。