来源:路由iptables概念

    Ebtables详解: http://www.cnblogs.com/peteryj/archive/2011/07/24/2115602.html Iptables详解 http://blog.csdn.net/reyleon/article/details/12976341 iptables 小结 http://blog.csdn.net/xingliyuan22/article/details/9152037 ebtables命令 http://blog.csdn.net/rudyn/article/details/28630495


    使用案例: 1、NAT loopback https://unix.stackexchange.com/questions/282086/how-does-nat-reflection-nat-loopback-work 2、LAN2LAN 组播报文二层不转发。 ebtables -t filter -A FORWARD -i eth0.+ -o eth0.+ -d 01:00:00:00:00:00/01:00:00:00:00:00 -j DROP -d MAC/MASK的方式,将组播报文找出来。


    原始链接: http://ebtables.netfilter.org/ http://ebtables.netfilter.org/misc/ebtables-man.html

    image.jpeg

    需要放大看全图:
    image.jpeg

    需要放大看全图:**
    image.jpeg

    注:
    bridge check**
    如果一个以太网接口eth1,它并没有桥接到br-lan0中,此时,从eth1进来的数据包不会走到ebtables中。
    它会在下图中的bridge check点,检查数据包进入的接口是否属于某个桥,如果是则走ebtables,否则直接走iptables。
    详见:ebtables_网桥防火墙
    image.jpeg
    我们在写Iptables规则的时候,要时刻牢记这张路由次序图,灵活配置规则,应用示例**:路由_ip rule、ip route、iptables 三者之间的关系

    优先级次序(由高而低,表的优先级):
    raw —> mangle —> nat —> filter**

    我们将经常用到的对应关系重新写在此处,方便对应图例查看。
    链的规则存放于哪些表中(从链到表的对应关系):

    • PREROUTING 的规则可以存在于:raw表,mangle表,nat表
    • INPUT 的规则可以存在于:mangle表,filter表,(centos7中还有nat表,centos6中没有)。
    • FORWARD 的规则可以存在于:mangle表,filter表。
    • OUTPUT 的规则可以存在于:raw表,mangle表,nat表,filter表。

    • POSTROUTING 的规则可以存在于:mangle表,nat表


      表中的规则可以被哪些链使用(从表到链的对应关系):
      表(功能) <—> 链(钩子):

    • raw 表中的规则可以被哪些链使用: PREROUTING,OUTPUT

    • mangle 表中的规则可以被哪些链使用: PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
    • nat 表中的规则可以被哪些链使用: PREROUTING,OUTPUT,POSTROUTING(centos7中还有INPUT,centos6中没有)
    • filter 表中的规则可以被哪些链使用: INPUT,FORWARD,OUTPUT