用iptables包裝端口轉發的頭腦

Question

老實說，我知道發生了什麼事情的一部分。就像我需要輸入規則一樣，使用特定的過濾器進行轉發。但是我需要一個規則，兩個還是三個？爲什麼一些人做FORWARD和其他人OUT，但還有一些人甚至IN。我需要單獨的規則SYN，ESTABLISHED，RELATED？ conntrack是一個單獨的包嗎？爲什麼一個指南做-t nat，而其他所有人都沒有？

這真的很痛苦，因爲每個人都可以提供幾乎可複製的指南&，但沒有足夠的解釋說明他們實際提供的解決方案，或者如果讀者的設置（哦，驚喜）不是100％ 。

我基本上要實現的是：

• 接受*從每個人的連接：443
• 所有請求發送到1.2.3.4:443（任何人，但我可以達到1.2.3.4）
• 使請求者接收來自1.2.3.4以及
• 看到響應dmesg裏的東西是否有效，但不是更多，如果沒有必要的

請解釋你爲什麼要做或不做什麼。我真的很想掌握這個東西。謝謝！

Answer 1

我發現的最好的解釋是在archwiki，即使進一步參考更深入的描述和圖表。我通過archwiki發現的一個真實深度指南是this iptables tutorial。

例如，here (Simple stateful firewall)是對所有決定進行解釋的詳細示例。

因爲我是一名視覺學習者，我還發現this youtube video非常有幫助，它展示並解釋了兩個虛擬機的運行示例，幾乎任何人都可以在家中進行復制。

現在我覺得我的水平，我大多隻是需要參考下圖，其中顯示了包如何走過的表和鏈：

Furhter閱讀：

• 討論是否人應drop or reject
• the internet protocols RFC
• NEW and SYN軟件包是怎麼回事？
• 爲什麼一些教程使用conntrack and others use state？

旁註：

• 我總是弄糊塗​​了，爲什麼有些指南包含ESTABLISHED,RELATED規則和別人不一樣。這些規則是否在那裏決定是否已經存在的網絡流量被切斷。例如，如果您使用ssh會話連接到計算機，那麼如果您的ssh會話不會因添加iptables規則而被殺死，那麼該規則會允許您的ESTABLISHED連接很好。 RELATED軟件包用於實例對ping或網絡信息包（ICMP）的響應。
• Simple stateful firewall example也解釋了不同nmap測試之間的差異。
• 也不錯overview