icmp重定向

查询： -t选项，指定要操作的表，使用-L选项，查看-t选项对应的表的规则，-L选项的意思是，列出规则，所以，上述命令的含义为列出filter表的所有规则 显示出了3条链INPUT链、FORWARD链、OUTPUT链，每条链中都有自己的规则，上图中可以看出，INPUT链、FORWARD链、OUTPUT链都拥有"过滤"的能力，所以，当我们要定义某条"过滤"的规则时，我们会在filter表中定义，但是具体在哪条"链"上定义规则呢？这取决于我们的工作场景。比如，我们需要禁止某个IP地址访问我们的主机，我们则需要在INPUT链上定义规则。报文发往本机时，会经过PREROUTING链与INPUT链，所以，如果我们想要禁止某些报文发往本机，我们只能在PREROUTING链和INPUT链中定义规则，但是PREROUTING链并不存在于filter表中，所以，我们只能在INPUT链中定义 注意：其他表可以类似查询 iptables -t raw -L iptables -t mangle -L iptables -t nat -L [root@#quan#Better ~]$iptables -t raw -L Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy

网络层的主要功能有两个：转发和路由。按照是否预先建立连接，可以分为无连接服务模型和连接服务模型。其中无连接服务模型的代表是数据报模型。有链接的代表是虚电路网络模型。 特点是：复杂网络，简化边缘 VC模型是基于连接服务模型的，类似于传统的电话电路网络，会首先建立连接，然后依据该链接进行传输，最后在关闭该链接。其好处是数据流速的较好控制性能。如ATM（Asynchronous Transfer Mode异步传输模式）网络。 对于某次连接，VC会分配给该链接一个虚电路号VCid，该链接的数据都会携带该VCid进行传输，由每个中间点的路由器进行识别VCid并转发。值得注意的是：每段路由器间同一连接的VCid是不一样的，如下图所示。 当数据从源端到R1时，VCid为12，但是从R1到下一个路由时，VCid为22。因此，路由器除了转发数据包，还要进行的就是更换VCid。 由于目前的intel网络采用的是另一种数据报模型，因此VC在这里不做过多探讨。 特点是：简化网络，复杂边缘 目前Internet主要使用的是数据报网络。数据报网络采用的是无连接模式，每个数据包都携带由目的IP，每个路由器都会依据自身当时情况根据IP地址依次对每个数据包进行转发。因此会出现乱序的情况。由于对每个数据包都进行了IP判断，路由器需要维护一个IP地址转发表。 如上图所示，转发表实际上是采用了IP范围的方式，并且

简介 ICMP（INTERNET CONTROL MESSAGE PROTOCOL）网络控制消息协议。 协议号为1 ICMP报文在IP报文内部 ICMP 类型： ICMP报文主要有两个功能：查询报文和差错报文 ICMP 报文头： //定义ICMP首部 typedef struct _icmphdr{ 　　unsigned char i_type; //8位类型 　　unsigned char i_code; //8位代码 　　unsigned short i_cksum; //16位校验和, 从TYPE开始,直到最后一位用户数据,如果为字节数为奇数则补充一位 　　unsigned short i_id ; //识别号（一般用进程号作为识别号）, 用于匹配ECHO和ECHO REPLY包 　　unsigned short i_seq ; //报文序列号, 用于标记ECHO报文顺序 　　unsigned int timestamp; //时间戳 }ICMP_HEADER; ICMP 报文的各种状态： 目的不可达报文（Destination Unreachable Message） 找不到目的IP传递路径 源端口抑制报文（Source Quench Message） 路由器在处理报文时会有一个缓存队列。如果超过了最大缓存队列，将无法处理，从而丢弃报文，并向源发送一个ICMP源冷却报文

1.TCP 传输控制协议,提供的是面向连接、可靠的字节流服务。当客户和服务器彼此交换数据前，必须先在双方之间建立一个TCP连接，之后才能传输数据。TCP提供超时重发，丢弃重复数据，检验数据，流量控制等功能，保证数据能从一端传到另一端。 2.UDP 用户数据报协议，是一个简单的面向数据报的运输层协议。UDP不提供可靠性，它只是把应用程序传给IP层的数据报发送出去，但是并不能保证它们能到达目的地。由于UDP在传输数据报前不用在客户和服务器之间建立一个连接，且没有超时重发等机制，故而传输速度很快。 3.ICMP （Internet 控制消息协议，Internet Control Message Protocol）协议用来给IP协议提供控制服务，允许路由器或目标主机给数据的发送方提供反馈信息。需要发送反馈信息的情况包括：数据包不能被发送到目标主机，路由器缓冲区溢出导致数据包被删除，路由器想要把流量重定向到另外一个更短的路由上等。ICMP协议是IP协议的一部分，任何实现了IP协议的 设备同时也被要求实现ICMP协议。

Iptables防火墙规则使用梳理 iptables是组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换(NAT)等功能。在日常Linux运维工作中，经常会设置iptables防火墙规则，用来加固服务安全。以下对iptables的规则使用做了总结性梳理： iptables首先需要了解的： 1） 规则概念 规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。 当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行(accept),拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作是添加,修改和删除等规则。 其中： 匹配（match）：符合指定的条件，比如指定的 IP 地址和端口。 丢弃（drop）：当一个包到达时，简单地丢弃，不做其它任何处理。 接受（accept）：和丢弃相反，接受这个包，让这个包通过。 拒绝（reject）：和丢弃相似，但它还会向发送这个包的源主机发送错误消息。这个错误消息可以指定

iptables是组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换(NAT)等功能。在日常Linux运维工作中，经常会设置iptables防火墙规则，用来加固服务安全。以下对iptables的规则使用做了总结性梳理： iptables首先需要了解的： 1）规则概念 规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。 当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行(accept),拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作是添加,修改和删除等规则。 其中： 匹配（match）：符合指定的条件，比如指定的 IP 地址和端口。 丢弃（drop）：当一个包到达时，简单地丢弃，不做其它任何处理。 接受（accept）：和丢弃相反，接受这个包，让这个包通过。 拒绝（reject）：和丢弃相似，但它还会向发送这个包的源主机发送错误消息。这个错误消息可以指定，也可以自动产生。 目标（target）

1.1 企业中安全优化配置原则 尽可能不给服务器配置外网ip ,可以通过代理转发或者通过防火墙映射.并发不是特别大情况有外网ip,可以开启防火墙服务. 大并发的情况，不能开iptables,影响性能，利用硬件防火墙提升架构安全 1.1.1 生产中iptables的实际应用 主要应用方向 1、主机防火墙（filter表的INPUT链）。 2、局域网共享上网(nat表的POSTROUTING链)。半个路由器，NAT功能。 3、端口及IP映射(nat表的PREROUTING链)，硬防的NAT功能。 4、IP一对一映射。 其他说明： ①iptables是基于内核的防火墙，功能非常强大，基于数据包的过滤！特别是可以在一台非常低的硬件配置下跑的非常好。 　　注： iptables主要工作在OSI七层的2.3.4层。七层的控制可以使用squid代理+iptables。 ②iptabes：生产中根据具体情况，一般，内网关闭，外网打开。大并发的情况不能开iptables，影响性能，iptables是要消耗CPU的，所以大并发的情况下，我们使用硬件防火墙的各方面做的很仔细。selinux：生产中也是关闭的。可以做ids的入侵检测。 ③实际生产中尽可能不给服务器配置外网IP。可以通过代理转发。比如，nagios就不需要外网。 ④并发不是很大的情况下，再外网的IP环境，开防火墙。

一、 简介 ICMP（INTERNET CONTROL MESSAGE PROTOCOL）网络控制消息协议。 协议号为1 ICMP报文在IP报文内部 一、 ICMP 类型： ICMP报文主要有两个功能：查询报文和差错报文 二、 ICMP 报文头： //定义ICMP首部 typedef struct _icmphdr{ 　　unsigned char i_type; //8位类型 　　unsigned char i_code; //8位代码 　　unsigned short i_cksum; //16位校验和, 从TYPE开始,直到最后一位用户数据,如果为字节数为奇数则补充一位 　　unsigned short i_id ; //识别号（一般用进程号作为识别号）, 用于匹配ECHO和ECHO REPLY包 　　unsigned short i_seq ; //报文序列号, 用于标记ECHO报文顺序 　　unsigned int timestamp; //时间戳 }ICMP_HEADER; 一、 ICMP 报文的各种状态： 目的不可达报文（Destination Unreachable Message） 找不到目的IP传递路径 code： 0 = net unreachable 1 = host unreachable 2 = protocol unreachable 3 = port

要模拟实现ping命令，就需要对ICMP协议有所了解： ICMP:Internet控制报文协议，它是TCP/IP协议族中的一个子协议，用于在IP主机，路由之间传递信息的协议。 传输的信息包括： 1.目的不可达消息 2.超时消息 3.重定向消息 4.时间戳请求和时间戳响应消息 5.回显请求和回显响应消息。 ping命令 的机制就是回显请求和回显应答消息，具体是向网络上另一个主机上发送ICMP报文，如果指定的主机得到了这个报文，就将报文原封不动的发送回发送者。 ICMP报文格式： 类型：回显请求报文其中类型为0，代码为0 代码:回显应答报文其中类型为8，代码为0 校验和：包括数据在内整个ICMP协议数据包校验和 标识符：用于文艺标识ICMP报文，Linux中使用进程ID 序列号：报文的序列号 数据：ping中将发送报文的时间戳放入数据字段 通过下面的代码可以打印出IP协议头部的格式： #include <stdio.h> #include <string.h> #include <stdlib.h> #include <unistd.h> #include <sys/socket.h> #include <netinet/in.h> #include <arpa/inet.h> #include <netinet/ip_icmp.h> #include <netinet/ip.h>

文章目录 一、参考书籍 二、必须掌握的内容 1.TCP/IP协议体系的认知 2.数据链路层 3.网络层 4.传输层 5.应用层 三、常见面试题目 1.分层的概念 2.数据链路层 3.网络层 （1）IP协议 （2）ICMP协议 四、传输层 1.UDP协议 2.TCP协议 五、应用层 1.DNS 2.http基本格式 六、参考 一、参考书籍 （1）TCP/IP详解 卷1：协议 （2）计算机网络：自顶向下方法 二、必须掌握的内容 1.TCP/IP协议体系的认知 （1）分层。一部分处于用户态，一部分处于内核态。数据链路层，网络层，传输层封装于操作系统内核态。应用层存在于操作系统的用户空间，包括DNS，FTP，HTTPs，HTTP，工作中接触较多的是应用层的部分。但其它层的原理必须理解，面试考察。 （2）层与层之间下层对上层是透明的，传输在每一层是对等的。 2.数据链路层 （1）以太网帧的格式。 （2）MTU（最大传输单元）的概念。 （3）ARP协议和RARP协议（地址协议和逆地址协议，网卡MAC地址和IP地址互查机制）（网络层和链路层的中间层）ARP报文格式，查询原理，缓存机制 3.网络层 （1）掌握IP首部格式：如16位分片标识、DF不分片标志、MF更多分片标志、13位片偏移、8位生存时间TTL、16位的首部检验和等等。 （2）掌握如何IP分片：如总长大于MTU值，画分片情况