最近的天气实在是冷得可以,又让我怀念起在东北的冬天。
在睡了半天觉,洗了一个澡,吃了一锅自煮的方便面后,岁月便毫不留情地让我老了一岁。
然而在这一天我意外地“悟”出了很多道理。
27
1
1
煮面的“哲学”
某日在openvpn服务器上配置iptables,配置完成,却发现forward中所有过滤居然都没有生效。传了个文件,发现流量居然都直接从input和output了,抓包后发现openvpn只是以其服务端口与两客户端建立了直接的连接实现了数据传输。百思不得其解,openvpn的的iptables示例明明就是在forward做过滤的啊。
百思不得其解之时,只好上水木社区求助。某大牛发来man page中的一段。大悟。
–client-to-client
17
1
1
ICMP重定向
这几天折腾iptables,我使用了一个路由器,一台linux作为网关,一个windows主机。三台机器用交换机相连。我要实现的目标是,windows的网关指向linux主机,用iptables来限制上网。
原本按照iptables的理论,转发的数据应该只通过FORWARD链。于是我只要INPUT和FORWARD做了限制,默认为DROP,允许了一些自己认可的端口通过,OUTPUT默认为ACCEPT。这原本就是一个很标准的过滤。但是真正应用的时候,问题出现了,FORWARD链的过滤根本没有起作用。只有把OUTPUT改为DROP才能起作用。百思不得其解之时,我查看了一下windows的路由表。居然神奇地发现,路由表中居然把我请求过的目的地址的下一跳直接改成了我的路由器。即,只要我访问了一次,那么第二次他们根本就不会从我的linux通过。
7
1
1
假象
5
1
1
