网络命令TC和IPTABLES分享.ppt

1、大纲，1、ipatables防火墙2、tc流量控制防火墙防火墙是基于软件或硬件的网络安全系统，它通过分析数据包并根据规则集确定是否允许数据包通过来控制传入和传出的网络流量知识产权数据包过滤，所有知识产权数据包(知识产权信息包)的结构也是一样的一个知识产权报头后面跟着一个可变长度的数据字段知识产权报头的内容如下：防火墙根据一组规则检查这些知识产权报头，以确定拒绝哪些数据包，接受哪些数据包。这个过程被称为知识产权包过滤（信息包过滤)，网络过滤器/iptables系统、网络过滤器/iptables包过滤系统由两部分组成3360 iptables:只是一个管理内核包过滤的工具，可以添加/删除链/表的规

2、则网络过滤器：这些规则的真正实现，是一个通用的Linux内核框架。它提供了一系列的表（表)，每个表由若干个链（链)组成，并且在每个链中可以由一个或几个规则（规则)组成iptables .结构规则，规则：预先确定的条件，一般的规则定义为如果ip报头具有这样的条件，那么处理ip数据包的规则存储在内核空间的包过滤表中，这些规则指定源地址，目的地址，协议(TCP、UDP)和服务的类型（如超文本传输协议等).).当数据包与规则匹配时，iptables根据定义的规则来处理这些数据包，如接受、拒绝、丢弃等.防火墙的主要规则配置是添加、修改和删除这些规则。链是数据包传输的路径，每个链实际上是一个检查列表中的许

3、多规则，每个链可以有一个或几个规则。当数据包到达一个链时，iptables将开始检查链中的第一个规则，看数据包是否满足条件定义的规则，如果满足，系统将根据数据包处理规则定义方法，否则iptables将继续检查下一个规则。如果数据包与链中的任何规则不匹配，iptables将根据链的默认策略预先定义来处理数据包。,链，表提供了具体的功能，iptables有3个表，即：过滤，实现包过滤纳特，网络地址转换。压缩包重构函数ps:生的表并不常用，这里省略了表，过滤器表主要用来过滤ip包，根据预先定义的一组规则来过滤包。防火墙主要使用过滤表中指定的一系列规则来过滤数据包。过滤表是默认表。过滤表包含输入链（处

4、理传入数据包链)，转发链（处理和转发数据包)和输出链（处理本地生成的数据包).在过滤表中，只允许接受或拒绝操作，但不允许任何更改你好。过滤表，网络地址转换。数据包地址根据规则更改。网络地址转换表包含：前路由链（在包到达防火墙前改变其目的地地址，域名)，输出链（改变本地生成包的目的地地址)后路由（在包离开防火墙前改变源地址SNAT ).网络地址转换表，篡改（改变)包的内容，如篡改表的TTL、TOS或标记链：路由前链：在包进入防火墙后，在路由前改变包；POSTROUTING链：在所有路由决定后更改数据包；输出链：在确定包的目的地之前改变包；输入链：数据包被路由到本地后，损坏表，表链规则数匹配条件-

5、j目标，匹配后操作，表命令语法，iptables语法（命令然后tc qdisc替换dev $DEV父级1:3手柄30: netem DELAY $ DELAY $ DELAY _ END否则tc qdisc替换dev $DEV父级1:3手柄30: netem DELAY $ DELAY fi TC过滤器更换DEV $ DEV父级1:0协议IP u32匹配IP dst $ HOST匹配IP dport $ PORT 0 xfffff流id 1:3，演示，tc qdisc替换开发eth1根句柄1: prio用以建立一个根优先级队列，句柄为1，此队列所作用的网卡接口为eth1，演示解释，tc qdi

6、sc替换dev eth1父级1:3句柄30: netem延迟3毫秒用以在根队列下建立一个子队列，子队列的句柄为30岁，这个子队列的作用是调用netem模块让通过的网络流量延迟通过模拟广域网的属性，PS: netem为测试协议提供了网络模拟功能。当前版本模拟可变延迟、丢失、复制和重新排序。演示说明，tc筛选器替换dev eth1父级1:0协议ip u32匹配ip dst $HOST匹配ip dport $ PORT 0 xffff流id 1:3在子队列上挂载一个过滤器，所有通过子队列1:3的流量，都会被过滤，只有满足过滤器条件的流量才会从该子队列中通过，这个条件为目的地址为二十、知识产权地址为xx”