内容摘要:netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK ),而在每个检测点上上登记了一些处理函数进行处理(如包过滤,NAT等,甚至可以是用户自定义的功能)。
已知的问题,请升级到最近的CVS版本或使用即将发布的iptables>=1.2.1
11、iptables –L显示规则用了很长的时间
这是因为iptables给每个ip地址做了一次DNS查询,因为每个规则至少有2个地址,那么每个规则至少做2此DNS查询。
12、我如何阻止日志显示到我的终端?
你需要适当地配置你的syslogd和/或klogd:程序核心日志的优先级是warning(4),查看syslogd.conf帮助页面了解更多关于优先级的信息。
默认情况下,所有内核消息的优先级超过了debug(7)都会发送到终端,如果你将其提升到4,在终端上将看不到日志消息。
小心这也可能会抑制其他重要的消息显示在终端上(不仅影响syslog)。
13、我如何用squid和iptables建立一个透明的代理?
首先,你需要一套合适的DNAT或REDIRECT规则,仅当squid运行在NAT盒子模式时使用REDIRECT,例如:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.22.33:3128
然后,你要对squid做适当的配置,我们在这里只能给出一个简单的注解,请参考squid的文档获取更详细的内容,squid2.3的配置文件squid.conf需要下面这些条目:
http_port 3128
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
squid2.4需要再添加一行:
httpd_accel_single_host off
14、我如何使用LOG target/我能记录日志和删除日志吗?
LOG target我们叫做非终端的目标,如:它不终止数据包规则的遍历。如果你使用了LOG target,数据包将被记录,规则遍历一个接一个地进行。
那么在同一时间我如何记录日志和删除日志呢?没有比这更容易的了,创建一个自定义链表,包括下面2个规则:
来源:51CTO.com 作者:黄永兵 责编:豆豆技术应用