Używam iptable reguł do filtrowania i manipulowania pakietami na moim serwerze Ubuntu. ale nie rozumiem tabeli maglów.
Cytując z tego samouczka iptables :
Ta tabela powinna, jak już zauważyliśmy, być używana głównie do zniekształcania pakietów. Innymi słowy, możesz swobodnie używać dopasowań mangle itp., Których można używać do zmiany pól TOS (Type of Service) i tak dalej.
Zdecydowanie odradzamy korzystanie z tej tabeli do filtrowania; w tej tabeli nie będą również działać DNAT, SNAT ani Maskarada.
Czy ktoś może mi opisać tabelę maglową i podać przykłady, aby zrozumieć, kiedy powinienem z niej skorzystać?
iptables(8)
Strona człowiek ma wszystkich potrzebnych informacji, w tym kilka przykładów miłe z przekształceń użytkowania stołu.Odpowiedzi:
Oprócz innych dobrych odpowiedzi, ostatnio musiałem użyć tabeli maglowania, aby skorygować rozbieżności MTU (maksymalna jednostka nadawcza) spowodowane ruchem przychodzącym przez PPPoE, PPP i ATM, z których każde powoduje dodatkowe obciążenie, które zmniejsza ładowność dostępną dla IP ze zwykłych 1500 bajtów ramki Ethernet.
Systemy na każdym końcu potoku, co jest normalne, miałyby MTU o wartości domyślnej 1500, więc próbowałyby wysłać tak duże ramki IP. Ponieważ rzeczywisty dostępny rozmiar ładunku był mniejszy, spowodowałoby to fragmentację pakietów, z tym wyjątkiem, że często nadawca zażąda, aby pakiety nie były pofragmentowane, i w rezultacie zostaną całkowicie odrzucone.
W idealnym świecie odkrycie ścieżki MTU pozwoliłoby punktom końcowym na dostosowanie ich MTU w dół w razie potrzeby, ale to odkrycie zależy od ICMP, a sieci poza moją kontrolą były często skonfigurowane do usuwania ICMP ze względów bezpieczeństwa.
Jedynym wyborem było użycie manglingu pakietów w moim routerze w celu zmodyfikowania pakietów TCP SYN w celu zmniejszenia maksymalnego rozmiaru segmentu w warstwie transportowej:
Tego rodzaju rzeczy są niechlujne i idealnie należy ich unikać, ale nie miałem innych opcji i to rozwiązało problem.
Mam nadzieję, że te przykłady pomogą, podobnie jak strona podręcznika.
źródło
Niedawno znalazłem dobre wyjaśnienie tutaj . Zasadniczo służy do ustawiania określonych nagłówków dla pakietów IP, aby wpływać na decyzję o routingu podjętą dalej. Jeśli tak, opcja TTL jest prawdopodobnie najciekawsza:
Pozostałe cele to
TOS, MARK, SECMARK, CONNSECMARK
.źródło
Jako noob iptables powiedziałbym: tablica mangle pozwala modyfikować niektóre specjalne wpisy w nagłówku pakietów. (takie jak: rodzaj usługi, czas wygaśnięcia) (pozwala także ustawić znaki specjalne i znaki kontekstu bezpieczeństwa)
źródło
Jest dobry głęboko nurkować, ale nie zbyt trudne do zrozumienia tutorial iptables tutaj .
Bardzo mi pomogło, ponieważ wyjaśnia również, w jaki sposób wszystkie części pasują do siebie i przeszkadzają sobie.
źródło