在这里让我们一起学习,一起提高!
1) 什么是raw表?做什么用的?
iptables有5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING,4个表:filter,nat,mangle,raw.
4个表的优先级由高到低的顺序为:raw-->mangle-->nat-->filter
举例来说:如果PRROUTING链上,即有mangle表,也有nat表,那么先由mangle处理,然后由nat表处理
RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和 ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了.
iptables有5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING,4个表:filter,nat,mangle,raw.
4个表的优先级由高到低的顺序为:raw-->mangle-->nat-->filter
举例来说:如果PRROUTING链上,即有mangle表,也有nat表,那么先由mangle处理,然后由nat表处理
RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和 ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了.
终端登录系统后检查日志发现 ip_conntrack: table full, dropping packet. 错误:
# vi /var/log/messages
...
Nov 8 08:54:58 server kernel: ip_conntrack: table full, dropping packet.
Nov 8 08:55:03 server kernel: printk: 49 messages suppressed.
Nov 8 08:55:03 server kernel: ip_conntrack: table full, dropping packet.
Nov 8 08:55:08 server kernel: printk: 49 messages suppressed.
...
# vi /var/log/messages
...
Nov 8 08:54:58 server kernel: ip_conntrack: table full, dropping packet.
Nov 8 08:55:03 server kernel: printk: 49 messages suppressed.
Nov 8 08:55:03 server kernel: ip_conntrack: table full, dropping packet.
Nov 8 08:55:08 server kernel: printk: 49 messages suppressed.
...
