我正在设置一些iptables来帮助防止大学分配的DDos攻击。我使用的是OWASP损坏的wep应用程序,我发现了一些有效的规则,并且找出了大部分规则,但我只是无法找到-t的含义。例如:
Iptables -t mangle -A PREROUTING -m conntack -ctstate Invalid -j DROP
此选项指定命令应在其上操作的数据包匹配表。如果内核配置有自动模块加载功能,那么将尝试为该表加载适当的模块(如果该模块尚不存在)。表格如下:
过滤器:这是默认表(如果未传递-t选项)。它包含内置链INPUT(用于发往本地套接字的数据包),FORWARD(用于通过盒子路由的数据包)和OUTPUT(用于本地生成的数据包)。nat:当遇到创建新连接的数据包时,请查阅此表。它由四个内置组件组成:PREROUTING(用于在进入后立即更改数据包),INPUT(用于在发送至本地套接字的位置更改数据包),OUTPUT(用于在路由之前更改本地生成的数据包)和POSTROUTING(用于更改数据包)因为他们要出去了)。从内核3.7开始提供IPv6 NAT支持。弯角:该表用于专门的数据包更改。在内核2.4.17之前,它具有两个内置链:PREROUTING(用于在路由之前更改传入的数据包)和OUTPUT(用于在路由之前更改本地生成的数据包)。从内核2.4.18开始,还支持其他三个内置链:INPUT(用于进入盒本身的数据包),FORWARD(用于改变通过盒路由的数据包)和POSTROUTING(用于改变即将要到达的数据包)出去)。原始:该表主要用于配置与NOTRACK目标结合使用的免于连接跟踪。它在具有优先级的netfilter钩子处注册,因此在ip_conntrack或任何其他IP表之前被调用。它提供以下内置链:PREROUTING(用于通过任何网络接口到达的数据包)OUTPUT(用于由本地进程生成的数据包)安全性:该表用于强制访问控制(MAC)网络规则,例如由SECMARK和CONNSECMARK目标启用的规则。强制访问控制由Linux安全模块(例如SELinux)实现。安全表在过滤器表之后被调用,从而允许过滤器表中的任何自由访问控制(DAC)规则在MAC规则之前生效。该表提供了以下内置链:INPUT(用于进入盒子本身的数据包),OUTPUT(用于在路由之前更改本地生成的数据包)和FORWARD(用于改变通过盒子路由的数据包)。