本文共 301 字,大约阅读时间需要 1 分钟。
1、不要在nat表的PREROUTING链上面做过滤操作,因为某些情况下包会溜过去。也不要在mangle表的OUTPUT链做过滤,可能有副作用。不要在nat表的POSTROUTING链上面做过滤,因为有副作用,而且,有些包是会溜过去的,即使你用了DROP策略。
2、包要经历很多步骤,而且它们可以被阻拦在任何一条链上,或者是任何有问题的地方。所有要经防火墙/路由器转发的包都要经过FORWARD链。
3、不要在INPUT链上做过滤,它是专门用来操作那些以我们的机子为目的地址的包的,它们不会被路由到其它地方的。
4、不要在mangle表里面做任何过滤,不管是DNAT、SNAT或者Masquerade。
转载地址:http://ukpgi.baihongyu.com/