Одно из таких растений, как иногда коровяк мы позволяем расти до погашения, по состоянию они вроде опрятно, чтобы посмотреть растут и легко контролировать, чтобы они не получают из рук. Цветочные шары довольно ананасов цвета. @MarkoKarbevski тогда это действительно звучит, как вы выиграли битву. Не подчеркивайте слишком много о плохом семестр. Уверяю вас, я знаю много людей имеют плохую пятна на их расшифровку и все равно попасть в школы, которые они хотят. Пахнет как клоп. Я бы сообщить об этом разработчикам Баш. @иконоборец - `ФК -л` то, что `история` псевдонимы. по умолчанию `ФК` не просто команды истории печати, он сдает его в какой-то редактор В временный файл. редактор `$FCEDIT`, или, если он отсутствует или отключено, `$редактор`, или, если он отсутствует или отключено, `ви`. когда вы поп в Редактор для редактирования вашей команды, если редактор возвращает 0, когда закончишь потом перередактировать команда вновь заключаемым все заново. вот почему мы `кошка` наш первый аргумент - *(временный файл оболочки с нашей последней истории команд)* - и `!` инвертировать его возвращения - так он не возвращает 0 и сделать перевыполняются.

Это о том, чтобы разобраться в цепях нашли в iptables в конфигурации по умолчанию на типичный домашний маршрутизатор работает маршрутизатор (урезанная Linux для устройства маршрутизатор), но которые в итоге не могут быть специфическими для конкретной системы.

Давайте сосредоточимся на вход основной цепи здесь, и пренебрежение вперед и выход из той же таблицы, а также следующее и POSTROUTING от нац таблице.

Делаю в iptables -л-т фильтра показано большое количество правил. Я переставил на выходе ниже, чтобы сделать его менее пугающим, и в попытке определить части, которые затрудняют мое понимание.

Есть три встроенных цепочки в фильтр таблицы, которые появляются в верхней части выходной. (Я уточнила Потому что я нахожу это менее запутанной.)

Входные цепи (полис принимают 0 пакетов, 0 байт)
 цель ПКЦ байт прот опт в источник назначение
 1260 133K принимаю всех, всех в любом месте ctstate, связанные в любом месте,установленном
 8 544 принимать все -- Ло в любом месте в любом месте
 787 41632 syn_flood ПТС-любой в любом месте по протоколу TCP везде флаги:фин,сын,первый,ACK и SYN
13012 1249K input_rule всех, всех в любом месте в любом месте
13012 1249K ввода всех, всех в любом месте в любом месте

Цепь вперед ... # не считая вот этой цепочки 
Выходная цепь ... # не учитывая ни

Как видите, я перекусил цепи ссылка из вперед и выходных для того, чтобы сосредоточиться на ввод. (Я мог бы выбрать любой из других двух, поскольку они строятся схожим образом.)

Ввод и политики принимают, и он указывает пять правил. Первые три из них очевидны для меня. Во-первых, принять вещи, которые "установили", или "связанные". (Например, принять ответ от запроса HTTP или DNS, которые я сделал.) Секунд примите все, что происходит на петлевое устройство (127.0.0.1). (Это может исходить только от самого localhost, а я не хочу, чтобы работать. Не имеет смысла в противном случае.) В-третьих, есть защита от synflood. (Которая защищает от определенного вида атаки.)

Цепь syn_flood (1 Ссылка)
 цель ПКЦ байт прот опт в источник назначение
 787 41632 возвращении протокола TCP -- любой где протокол TCP где флаги:фин,Син,во-первых,ACK и SYN предел: СР 25/сек взрыв 50
 0 0 падение всех, всех в любом месте в любом месте

Но тогда, есть два правила, разветвляется на две цепи называются входной и input_rule, и вопрос, почему их две, и которые вы должны использовать для чего?

Давайте детализировать стек прыжок из этих правил.

Цепь input_rule (1 Ссылка)
 цель ПКЦ байт прот опт в источник назначение

Здесь нет ничего еще. Это означало для меня, чтобы добавить правила. Но какие правила?

Входные цепи (1 Ссылка)
 цель ПКЦ байт прот опт в источник назначение
 6315 482ТЫС zone_lan все ... БР-локальная сеть в любом месте в любом месте
 767K 6697 zone_wan все-РРРоЕ-глобальной сети в любом месте в любом месте

Ладно, это действительно есть вещи, прыгает дальше в LAN и WAN, который имеет смысл для домашнего роутера.

Цепь zone_lan (1 Ссылка)
 цель ПКЦ байт прот опт в источник назначение
 6315 482ТЫС input_lan всех, всех в любом месте в любом месте
 6315 482ТЫС zone_lan_ACCEPT всех, всех в любом месте в любом месте

Цепь zone_wan (1 Ссылка)
 цель ПКЦ байт прот опт в источник назначение
 0 0 принять УДП-любой любой любой любой UDP в ДПТ:bootpc
 0 0 принимать ICMP-любой любой любой любой ICMP эхо-запрос
 6697 767K input_wan всех, всех в любом месте в любом месте
 6697 767K zone_wan_REJECT всех, всех в любом месте в любом месте

Как видите, каждый из этих правил прыгает дальше вниз по стеку для более определенных пользователем правил.

Цепь input_lan (1 Ссылка)
 цель ПКЦ байт прот опт в источник назначение

Цепь zone_lan_ACCEPT (2 ссылки)
 цель ПКЦ байт прот опт в источник назначение
 4 1322 принимаю всех, всех БР-сеть в любом месте в любом месте
 6315 482ТЫС принять все ... БР-локальная сеть в любом месте в любом месте

Какова цель input_lan? Другой, наверное, чтобы принимать пакеты, но это заставляет меня задуматься ... политика для ввода это принять, так зачем повторять принимать здесь?

Теперь, вход из WAN. Если вы прокрутите, вы можете увидеть, что принимаются некоторые UDP и ICMP вещи. Это для DHCP и, в основном, пинг. Это понятно. То, что менее ясно, опять-таки, частично пустые вещи следующие правила:

Цепь input_wan (1 Ссылка)
 цель ПКЦ байт прот опт в источник назначение

Тот же вопрос, как для input_lan.

Цепь zone_wan_REJECT (2 ссылки)
 цель ПКЦ байт прот опт в источник назначение
 0 0 отклонить все -- никаких РРРоЕ-Ван в любом месте в любом месте
 767K 6697 отклонить все -- РРРоЕ-Ван любом месте в любом месте

Хорошо, что есть вход из WAN (не создан или связаны), и да, мы, наверное, хотим, чтобы отвергнуть его, и теперь существует два вида отказа вот одно закрытие сокета (протокол TCP-сброс) для TCP-соединения попытки, и еще один ответ по протоколу ICMP (ICMP эхо-порт-недоступных) для ICMP сообщения (думаю пинг).

Цепь отклонить (5 ссылок)
 цель ПКЦ байт прот опт в источник назначение
 595 31817 отклонить протокол TCP-любой в любом месте где угодно отвергать-с TCP-сброс
 4858 582K отвергать всех, всех в любом месте в любом месте отвергают-с ICMP-порт-недоступен

Этот последний улов. Так что ничего не будет принято здесь.

Наконец, вот список других сетей нашли в фильтр таблицы, которые не ссылаются со встроенной входной цепи в чистой таблице. Просто для полноты, и увидев, что они, кажется, имеют аналогичные конструкции.

# другие сети, не дошло от входной цепи, так усе и переехала сюда
Цепь вперед (1 Ссылка)
Цепь forwarding_lan (1 Ссылка)
Цепь forwarding_rule (1 Ссылка)
Цепь forwarding_wan (1 Ссылка)
Nat_reflection_fwd цепи (1 Ссылка)
Выходной цепи (1 Ссылка)
Цепь output_rule (1 Ссылка)
Цепь отклонить (5 ссылок)
Цепь zone_lan_DROP (0 упоминаний)
Цепь zone_lan_REJECT (1 Ссылка)
Цепь zone_lan_forward (1 Ссылка)
Цепь zone_wan_ACCEPT (2 ссылки)
Цепь zone_wan_DROP (0 упоминаний)
Цепь zone_wan_forward (1 Ссылка)

Так, хорошо. Извините за этот длинный пост. Есть пару вопросов по пути. Я не знаю, как это в более простой и короткий путь. Это в iptables конфигурация не совсем легко понять, потому что есть непонятные подробности выкладывать здесь и там. Надеемся, что вы можете уточнить этот и объяснить основной смысл. Спасибо за ваше внимание.