[問題]iptables 的疑問～？

[HaWay]

鴨子快要被趕上架了！ 請問一些問題！ 謝謝！

在 iptables 中，有三個表，以及相關的鏈，如下：
filter：INPUT,FORWARD,OUTPUT
nat：PREROUTING,OUTPUT,POSTROUTING
mangle：PREROUTING,OUTPUT

我想請問 filter 中的 OUTPUT 跟 nat 中的 OUTPUT 還有 mangle 中的 OUTPUT 有什麼不一樣？

nat 中的 PREROUTING  跟 mangle 中的 PREROUTING 有什麼不一樣？

那封包是怎麼在這三個表，八個鏈之間遊走的？？

就我手邊的資料來看我已經快被搞迷糊了~@@"
我只知道在 kernel 對查看封包表頭的步驟稱為 "路由"。
請問有沒有具體的說明可以比較容易了解的？？謝謝！

[wilson]

http://www.jollycom.ca/iptables-tutorial/
把第3章（Traversing of tables and chains）看完～～幫助會很大～

Haway加油喔～～

[wilson]

再補
http://phorum.vbird.org/viewtopic.php?t=3480&highlight=iptables
http://www.docum.org/stef.coene/qos/kptd/

（嘻嘻～～終於600貼了 ）

[HaWay]

原來 wilson 深藏不露阿！～ XD
=============================
@@" 英文 ～ 等我回來台南又不用睡覺了～XD

[HaWay]

阿！～～～～～～～～～～～～～～～～～～～～～～～～～～

功力大增阿！～ （站者狂叫中）～～～～～～～～～

XD

[netman]

流程圖請參考：
http://www.docum.org/stef.coene/qos/kptd/

程式碼:

                           Network
                    -----------+-----------
                               |
                  +--------------------------+
          +-------+-------+        +---------+---------+
          |    IPCHAINS   |        |      IPTABLES     |
          |     INPUT     |        |     PREROUTING    |
          +-------+-------+        | +-------+-------+ |
                  |                | |   conntrack   | |
                  |                | +-------+-------+ |
                  |                | |    mangle     | | <- MARK WRITE  
                  |                | +-------+-------+ |
                  |                | |      IMQ      | |
                  |                | +-------+-------+ |
                  |                | |      nat      | | <- DEST REWRITE
                  |                | +-------+-------+ |     DNAT or REDIRECT or DE-MASQUERADE
                  |                +---------+---------+
                  +--------------------------+
                               |
                       +-------+-------+
                       |      QOS      |
                       |    INGRESS    |
                       +-------+-------+
                               |
         packet is for +-------+-------+ packet is for
          this machine |     INPUT     | another address
        +--------------+    ROUTING    +--------------+
        |              |    + PDBB     |              |
        |              +---------------+              |
+-------+-------+                                     |
|   IPTABLES    |                                     |
|     INPUT     |                                     |
| +-----+-----+ |                                     |
| |   mangle  | |                                     |
| +-----+-----+ |                                     |
| |   filter  | |                                     |
| +-----+-----+ |                                     |
+-------+-------+                                     |
        |                               +---------------------------+
+-------+-------+               +-------+-------+           +-------+-------+
|     Local     |               |    IPCHAINS   |           |    IPTABLES   |
|    Process    |               |    FORWARD    |           |    FORWARD    |
+-------+-------+               +-------+-------+           | +-----+-----+ |
        |                               |                   | |  mangle   | | <- MARK WRITE
+-------+-------+                       |                   | +-----+-----+ |
|    OUTPUT     |                       |                   | |  filter   | |
|    ROUTING    |                       |                   | +-----+-----+ |
+-------+-------+                       |                   +-------+-------+
        |                               +---------------------------+
+-------+-------+                                     |
|    IPTABLES   |                                     |
|     OUTPUT    |                                     |
| +-----------+ |                                     |
| | conntrack | |                                     |
| +-----+-----+ |                                     |
| |   mangle  | | <- MARK WRITE                       |
| +-----+-----+ |                                     |
| |    nat    | | <-DEST REWRITE                      |
| +-----+-----+ |     DNAT or REDIRECT                |
| |   filter  | |                                     |
| +-----+-----+ |                                     |
+-------+-------+                                     |
        |                                             |
        +----------------------+----------------------+
                               |
                  +--------------------------+
          +-------+-------+        +---------+---------+
          |    IPCHAINS   |        |      IPTABLES     |
          |     OUTPUT    |        |    POSTROUTING    |
          +-------+-------+        | +-------+-------+ |
                  |                | |    mangle     | | <- MARK WRITE  
                  |                | +-------+-------+ |
                  |                | |      nat      | | <- SOURCE REWRITE
                  |                | +-------+-------+ |      SNAT or MASQUERADE
                  |                | |      IMQ      | |
                  |                | +-------+-------+ |
                  |                +---------+---------+
                  +--------------------------+
                           |       |
                        +------+------+
                        |     QOS     |
                        |    EGRESS   |
                        +------+------+
                               |
                    -----------+-----------
                            Network

or:



若將下面這篇也看完，那收獲更是不得了!  ^_^
http://phorum.study-area.org/viewtopic.php?t=16613&highlight=mangle
(有兩頁哦...)

[wilson]

@@" 英文 ～ 等我回來台南又不用睡覺了～XD

不如帶paper回去過年如何？！
不用等到回台南～

[HaWay]

若將下面這篇也看完，那收獲更是不得了! ^_^
http://phorum.study-area.org/viewtopic.php?t=16613&highlight=mangle
(有兩頁哦...)
======================================================================
才兩頁～沒問題！～ wilson 都丟給我那麼多頁了～ XD

[HaWay]

@@" 英文 ～ 等我回來台南又不用睡覺了～XD

不如帶paper回去過年如何？！
不用等到回台南～

喔！ 不用那麼拼吧！  :lol:  饒了我吧！

[dean]

傷腦筋~ 看到了兩個畫得不太一樣的流程圖..

這是Netman 兄提供的..
http://www.docum.org/stef.coene/qos/kptd/

這是另外找到的..
http://www.chapo.co.il/Articles/Unix/Security/KPTD.htm

這兩張的差別在於 ipchains 與 iptables的關係..
@@ 不知道這兩張哪個對 ??
但在實際運用上, ipchains 和  iptables我們會擇一而用之..這樣就都一樣了..

另外也發現一個地方怪怪的,就是在 INPUT ROUTING + PDBB這邊,看過內文後發現應該是叫 PRDB (Policy Routing DataBase) 也有看到有人寫  RPDB (Routing Policy DataBase) 指的應該是相同的東西吧???

我把netman兄提供的圖又用png畫了一遍,是彩色的呦..
有需要的就下載看看吧..

http://my.so-net.net.tw/deanlu/images/kptd.png
_________________
人外有人,天外有天.
學海無涯,風瘋癲癲.

~風~皮在癢~