防火墙前置知识:netfilter 与 iproute2
1. 网络连接与 TCP 流量控制
为使网络连接正常工作,我们需要允许已建立的 TCP 连接的传入 TCP 流量。更准确地说,应拒绝不属于本计算机发起的 TCP 连接的任何传入 TCP 流量(即拒绝 TCP SYN 数据包)。
2. iproute2 软件包
iproute2 是一个软件包,提供了用于高级路由、隧道和流量控制的各种工具。它最初由 Alexey Kuznetsov 设计,以在 Linux 内核中实现 QoS 而闻名,现在由 Stephen Hemminger 维护。其主要网站是 http://linux-net.osdl.org/index.php/Iproute2 ,主要文档网站是 http://www.lartc.org 。iproute2 提供的最重要的工具是ip和tc。
2.1 “ip” 工具
ip工具提供了 Linux 系统所需的大部分网络配置功能,可用于配置接口、ARP、策略路由、隧道等。以下是ip命令的帮助信息:
root@router:~# ip help Usage: ip [ OPTIONS ] OBJECT { COMMAND | help } where OBJECT := { link | addr | route | rule | neigh | tunnel | maddr | mro
