找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 17509|回复: 12

prerouting 和 postrouting 怎么翻译比较好?

[复制链接]
发表于 2005-9-15 15:42:17 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
涉及到具体理解,

还有 ingress 和 egress
routeros
student 该用户已被删除
发表于 2005-11-9 16:41:10 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
routeros
回复

使用道具 举报

发表于 2005-11-10 08:44:33 | 显示全部楼层
routeros
回复

使用道具 举报

student 该用户已被删除
发表于 2005-11-10 11:02:46 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
routeros
回复

使用道具 举报

 楼主| 发表于 2005-11-11 11:03:07 | 显示全部楼层
ingress 和 egress 已经理解了。就是不知道怎么翻译好。。。。。
routeros
回复

使用道具 举报

发表于 2005-11-14 21:16:07 | 显示全部楼层
不知 DreamCat 兄指的是哪里的 ingress 和 egress,是 tc 里的还是哪里的
routeros
回复

使用道具 举报

发表于 2006-3-8 18:14:38 | 显示全部楼层
不翻译最好。翻译了大家都看不懂了
routeros
回复

使用道具 举报

发表于 2006-3-21 12:51:17 | 显示全部楼层
进路由前处理
出路由后处理
routeros
回复

使用道具 举报

发表于 2007-11-1 11:48:32 | 显示全部楼层
routeros
回复

使用道具 举报

发表于 2007-11-3 21:33:45 | 显示全部楼层
简释iptables防火墙!
                                       
一般LINUX防火墙(iptalbes)的运用无非是用nat 表(PREROUTING、OUTPUT、POSTROUTING)和filter表(FORWARD、INPUT、OUTPUT)。我们只有知道了数据的流向才能正确的配置防火墙。现用一个相对比较直观的图形解释数据的走向。(此处只作最基本的iptables数据流走向说明。)



一般LINUX防火墙(iptalbes)的运用无非是用nat 表(PREROUTING、OUTPUT、POSTROUTING)和filter表(FORWARD、INPUT、OUTPUT)。我们只有知道了数据的流向才能正确的配置防火墙。现用一个相对比较直观的图形解释数据的走向。(此处只作最基本的iptables数据流走向说明。)

上图是你的家,蓝色的圈是你家院子,有两扇大门①⑥进出,你家有两个房间,分别为eth0和 eth1房间,每个房间有两个门可以进出②③④⑤。旁边是张三和李四的家,张三家和李四家之间的往返必须要过你家院子。
现假设,eth0网卡IP为:192.168.5.1链接内网,eth1网卡IP为:218.100.100.111链接互连网。
再假设,"张三家"为一个局域网,"李四家"为互连网。进我家院子用PREROUTING,出我家院子用FORWARD,进我家门用INPUT,出我家门用OUTPUT。(当我们的操作是征对服务器本身而言的话,如SSH操作,此时肯定会用到PREROUTING、INPUT和OUTPUT,当数据只是通过服务器去访问别的机器时会用到PREROUTING和FORWARD。)
又假设,默认这六个门都是关的。生成如下代码。
###########################################################################
*nat
################################
REROUTING DROP [0:0]
:OUTPUT DROP [0:0]
OSTROUTING DROP [0:0]
################################
-F
-Z
-X
### 以后要新增语句请在此处增加。
-L -v
COMMIT
################################################
*filter
##############################
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
##############################
-F
-Z
-X
### 以后要新增语句请在此处增加。
-L -v
COMMIT
##########################################################################
1、 局域网用户通过服务器共享上网
(即从张三家到李四家)
1)首先进①号门,再从⑥号门走出。
-A PREROUTING -p tcp --dport 80 -j ACCEPT #允许TCP 80端口通过服务器
-A FORWARD -p tcp --dport 80 -j ACCEPT #允许TCP80 端口转发
-A FORWARD -p tcp --sport 80 -j ACCEPT #允许接收对方为TCP80端口反回的信息
2)其次,由于我们上网打的是域名,为此有一个公网DNS服务器为我们服务,那当然也要允许内网机器与DNS服务器的数据转发。DNS用UDP 53或者 TCP 53端口。两者用其一个就行。
-A PREROUTING -p udp --dport 53 -j ACCEPT
-A FORWARD -p udp --dport 53 -j ACCEPT
-A FORWARD -p udp --sport 53 -j ACCEPT
3)再次,由于局域网的地址在公网上是不被允许的,所以在出公网前应该把其地址转为服务器地址进行伪装。
-A POSTROUTING -s 192.168.5.0/24 -j SNAT -to 218.100.100.111
2、 允许局域网和公网可以访问服务器的SSH
假设SSH采用默认端口TCP 22 。此要求相当于要进我的家的TCP 22号门,为此我们首先要进我家院子,然后再进我家门,最后走出我家门这样的过程。此操作是征对服务器本身的操作。
-A PREROUTING -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp --sport 22 -j ACCEPT
3、 允许内网机器可以登录MSN和QQ。
(MSN和QQ默认是不允许登录的)QQ一般来说可以从TCP 80、8000、443及UDP 8000、4000登录,而MSN可以从TCP 1863、443登录。我们登录MSN和QQ的过程就象上网一样,也是去访问远程服务器的指定端口,故而我们只用数据转发即可。
-A PREROUTING -p tcp --dport 1863 -j ACCEPT
-A PREROUTING -p tcp --dport 443 -j ACCEPT
-A PREROUTING -p tcp --dport 8000 -j ACCEPT
-A PREROUTING -p udp --dport 8000 -j ACCEPT
-A PREROUTING -p udp --dport 4000 -j ACCEPT
-A FORWARD -p tcp --dport 1863 -j ACCEPT
-A FORWARD -p tcp --sport 1863 -j ACCEPT
-A FORWARD -p tcp --dport 443 -j ACCEPT
-A FORWARD -p tcp --sport 443 -j ACCEPT
-A FORWARD -p tcp --dport 8000 -j ACCEPT
-A FORWARD -p tcp --sport 8000 -j ACCEPT
-A FORWARD -p udp --dport 8000 -j ACCEPT
-A FORWARD -p udp --sport 8000 -j ACCEPT
-A FORWARD -p udp --dport 4000 -j ACCEPT
-A FORWARD -p udp --sport 4000 -j ACCEPT
4、 让内网机器可以收发邮件。
接收邮件是访问远程服务器的TCP 110端口,发送邮件是访问TCP25端口。用数据转发即可。
-A PREROUTING -p tcp --dport 110 -j ACCEPT
-A PREROUTING -p tcp --dport 25 -j ACCEPT
-A FORWARD -p tcp --dport 110 -j ACCEPT
-A FORWARD -p tcp --sport 110 -j ACCEPT
-A FORWARD -p tcp --dport 25 -j ACCEPT
-A FORWARD -p tcp --sport 25 -j ACCEPT
5、 内部机器对外发布WEB。
要把内网机器192.168.5.179的WEB对外发布的话,相当于是从外网访问内网。与第1步操作的局域网共享上网相同,只是访问的方向改变了。不是从内网访问外网,而是从外网访问内网。
当公网访问服务器218.100.100.111时,防火墙把它映射到内网的192.168.5.179的TCP80上。当内网机器访问服务器218.100.100.111时,防火墙把它映射到内网的192.168.5.179的TCP80上。
-A PREROUTING -i eth0 -p tcp -d 218.100.100.111 --dport 80 -j DNAT --to-destination 192.168.5.179:80
-A PREROUTING -i eth1 -p tcp -d 218.100.100.111 -dport 80 -j DNAT -to-destination 192.168.5.179:80
(以上两句必须写在 -A PREROUTING -p tcp --dport 80 -j ACCEPT 前面。)
TCP 80端口的转发在第1步就已做过,此处就不用重复制作了。另外在
-A POSTROUTING -s 192.168.5.0/24 -j SNAT -to 218.100.100.111 之后加上一句:
-A POSTROUTING -p tcp --dport 80 -j ACCEPT
为什么要加这句话呢,我的理解是这样的,
公网访问 http://218.100.100.111时:(假设公网上用户的IP为199.199.199.199,端口12345为随机的产生的。)
数据源 : ip:199.199.199.199 sport:12345
数据目标: ip:218.100.100.111 dport 80
此时,通过-A PREROUTING -i eth0 -p tcp -d 218.100.100.111 --dport 80 -j DNAT --to-destination 192.168.5.179:80 告诉199.199.199.199,您要访问的真正地址应该是192.168.5.179:80,然后我们通过-A POSTROUTING -p tcp --dport 80 -j ACCEPT 目标地址218.100.100.111:80伪装成 192.168.5.179:80 。
数据源 : ip:199.199.199.199 sport:12345
数据目标: ip:192.168.5.179 dport 80

当192.168.5.179返回数据时:
数据源 : ip:192.168.5.179 sport:80
数据目标: ip:199.199.199.199 dport 12345
数据经过 -A POSTROUTING -s 192.168.5.0/24 -j SNAT -to 218.100.100.111 后,
数据源 : ip:218.100.100.111 sport:80
数据目标: ip:199.199.199.199 dport 12345

6、 完整的iptables配置
###########################################################################
*nat
################################
REROUTING DROP [0:0]
:OUTPUT DROP [0:0]
:POSTROUTING DROP [0:0]
################################
-F
-Z
-X
-A PREROUTING -i eth0 -p tcp -d 218.100.100.111 --dport 80 -j DNAT --to-destination 192.168.5.179:80
-A PREROUTING -i eth1 -p tcp -d 218.100.100.111 --dport 80 -j DNAT -to-destination 192.168.5.179:80
-A PREROUTING -p tcp --dport 80 -j ACCEPT
-A PREROUTING -p udp --dport 53 -j ACCEPT
-A PREROUTING -p tcp --dport 22 -j ACCEPT
-A PREROUTING -p tcp --dport 1863 -j ACCEPT
-A PREROUTING -p tcp --dport 443 -j ACCEPT
-A PREROUTING -p tcp --dport 8000 -j ACCEPT
-A PREROUTING -p udp --dport 8000 -j ACCEPT
-A PREROUTING -p udp --dport 4000 -j ACCEPT
-A PREROUTING -p tcp --dport 110 -j ACCEPT
-A PREROUTING -p tcp --dport 25 -j ACCEPT
-A POSTROUTING -s 192.168.5.0/24 -j SNAT -to 218.100.100.111
-A POSTROUTING -p tcp --dport 80 -j ACCEPT
-L -v
COMMIT
################################################
*filter
##############################
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
##############################
-F
-Z
-X
-A INPUT -p tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp --sport 22 -j ACCEPT
-A FORWARD -p tcp --dport 80 -j ACCEPT
-A FORWARD -p tcp --sport 80 -j ACCEPT
-A FORWARD -p udp --dport 53 -j ACCEPT
-A FORWARD -p udp --sport 53 -j ACCEPT
-A FORWARD -p tcp --dport 1863 -j ACCEPT
-A FORWARD -p tcp --sport 1863 -j ACCEPT
-A FORWARD -p tcp --dport 443 -j ACCEPT
-A FORWARD -p tcp --sport 443 -j ACCEPT
-A FORWARD -p tcp --dport 8000 -j ACCEPT
-A FORWARD -p tcp --sport 8000 -j ACCEPT
-A FORWARD -p udp --dport 8000 -j ACCEPT
-A FORWARD -p udp --sport 8000 -j ACCEPT
-A FORWARD -p udp --dport 4000 -j ACCEPT
-A FORWARD -p udp --sport 4000 -j ACCEPT
-A FORWARD -p tcp --dport 110 -j ACCEPT
-A FORWARD -p tcp --sport 110 -j ACCEPT
-A FORWARD -p tcp --dport 25 -j ACCEPT
-A FORWARD -p tcp --sport 25 -j ACCEPT
-L -v
COMMIT
##########################################################################
7、 其它注意事项
1)在使用iptables防火墙之前,必须先打开IP转发功能。
# echo "1" > /proc/sys/net/ipv4/ip_forward
2)以上内容(第6步生成的内容)保存到 /etc/sysconfig/iptables文件中。
3)每修改一次iptables文件后,都要重启iptalbes
# service iptables restart
routeros
回复

使用道具 举报

 楼主| 发表于 2007-11-5 07:55:09 | 显示全部楼层
偶现在也考虑好了,还是不翻译的好。关键是找不到简洁的词汇。本来想了几个却感觉不好。
routeros
回复

使用道具 举报

发表于 2008-4-16 02:43:13 | 显示全部楼层
记号
routeros
回复

使用道具 举报

发表于 2009-4-14 08:31:03 | 显示全部楼层
不错,要多看几篇,还有点迷糊
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-23 08:02 , Processed in 0.065048 second(s), 7 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表