来源:路由iptables概念
Ebtables详解: http://www.cnblogs.com/peteryj/archive/2011/07/24/2115602.html Iptables详解 http://blog.csdn.net/reyleon/article/details/12976341 iptables 小结 http://blog.csdn.net/xingliyuan22/article/details/9152037 ebtables命令 http://blog.csdn.net/rudyn/article/details/28630495
使用案例: 1、NAT loopback https://unix.stackexchange.com/questions/282086/how-does-nat-reflection-nat-loopback-work 2、LAN2LAN 组播报文二层不转发。 ebtables -t filter -A FORWARD -i eth0.+ -o eth0.+ -d 01:00:00:00:00:00/01:00:00:00:00:00 -j DROP -d MAC/MASK的方式,将组播报文找出来。
原始链接: http://ebtables.netfilter.org/ http://ebtables.netfilter.org/misc/ebtables-man.html
需要放大看全图:
需要放大看全图:**
注:
bridge check**:
如果一个以太网接口eth1,它并没有桥接到br-lan0中,此时,从eth1进来的数据包不会走到ebtables中。
它会在下图中的bridge check点,检查数据包进入的接口是否属于某个桥,如果是则走ebtables,否则直接走iptables。
详见:ebtables_网桥防火墙
我们在写Iptables规则的时候,要时刻牢记这张路由次序图,灵活配置规则,应用示例**:路由_ip rule、ip route、iptables 三者之间的关系
优先级次序(由高而低,表的优先级):
raw —> mangle —> nat —> filter**
我们将经常用到的对应关系重新写在此处,方便对应图例查看。
链的规则存放于哪些表中(从链到表的对应关系):
- PREROUTING 的规则可以存在于:raw表,mangle表,nat表。
- INPUT 的规则可以存在于:mangle表,filter表,(centos7中还有nat表,centos6中没有)。
- FORWARD 的规则可以存在于:mangle表,filter表。
- OUTPUT 的规则可以存在于:raw表,mangle表,nat表,filter表。
POSTROUTING 的规则可以存在于:mangle表,nat表。
表中的规则可以被哪些链使用(从表到链的对应关系):
表(功能) <—> 链(钩子):raw 表中的规则可以被哪些链使用: PREROUTING,OUTPUT
- mangle 表中的规则可以被哪些链使用: PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
- nat 表中的规则可以被哪些链使用: PREROUTING,OUTPUT,POSTROUTING(centos7中还有INPUT,centos6中没有)
- filter 表中的规则可以被哪些链使用: INPUT,FORWARD,OUTPUT