itpables概念的问题

Question

在iptbales中有对网络接口 有两个参数   -i eth1 -o eth0
现在我在我的一台机器上装了两个网卡,对于网络来说数据包都是有来有回的,我如何判断哪个到底是流如的，哪个是流出的啊?

Answer 1

原帖由 怪怪虎 于 2006-7-12 09:04 发表
说的好 ,谢谢,有理解了不少.
呵呵.

标题一直没改，改改吧，还是“itpables”呢

Answer 2

说的好 ,谢谢,有理解了不少.
呵呵.

Answer 3

其实很简单的

假如你的内网要访问外网，那么对于linux网关而言，eth1就是入口，eth0就是出口

而外网要访问你的内网，那么eth0就是入口，eth1就是出口

对于PREROUTING而言，因为是在路由选择之前，所以只能有入口这个概念，对于POSTROUTING而言，因为已经经过处理了，也决定了从哪个接口往外发送数据，所以就只有出口了。

通常情况下，PREROUTING是用来对目的地址进行转换的，所以就需要知道数据是从哪个网络接口进入路由器，这时候并不需要知道这个数据包是从哪个接口出去（那是路由选择的问题）。此时只知道从哪个接口进来的，源IP是什么，目的IP是什么，这时候可以通过处理，对目的IP进行修改。

而POSTROUTING，通常用来对源IP进行修改，也就是地址伪装。此时只关心从哪个网络接口发送出去。

在filter表的FORWARD链中，可以同时指定入口和出口。

你应该仔细看看netfilter主页上的相关内容，特别是一个示意图，更需要仔细看看。

Answer 4

我还没有实验,在问下, 如何确定-i 用哪个 接口啊,(是不是eth1 或者eth2是一样的啊。)
我分析了一些资料,最后的出的结论是在要走internet上的路线时,eth1和eth2是一样的,只是ip不同而已,不知道这样理解对不对

Answer 5

原帖由 怪怪虎 于 2006-7-8 15:21 发表
其实我就想知道prerouting链中为什么要指定一个接口啊( 比如-i eth0),没有这个接口 不可以吗,为什么不指定-i eth1 (其中eth1连着内网)

并不是在每个链都可以同时设-i -o，you may try it!

Answer 6

其实我就想知道prerouting链中为什么要指定一个接口啊( 比如-i eth0),没有这个接口 不可以吗,为什么不指定-i eth1 (其中eth1连着内网)

Answer 7

我也能理解到这些,可是在iptalbes的设置时,我对于内网来说(假设eth1带动内网),并且在prerouting链中,(在prerouting链中不能有-o 这个参数) 是不是就用不到eth1啊,只会 甬道eth0?

Answer 8

原帖由 怪怪虎 于 2006-7-8 14:19 发表
在iptbales中有对网络接口 有两个参数   -i eth1 -o eth0
现在我在我的一台机器上装了两个网卡,对于网络来说数据包都是有来有回的,我如何判断哪个到底是流如的，哪个是流出的啊?

有意思，既然有来有回，又如何会分不清呢？
A->B 出去是， -i eth1 -o eth0，那如果有回来的包，就是B->A, -i eth0 -o eth1……