请教：iptables 脚本中的几句看不明白

maminlong

#### 清理垃圾包  #####

iptables -I FORWARD -m conntrack --ctstate INVALID -j DROP
iptables -t mangle -A PREROUTING -i $LAN ! -s $LANIP -j DROP
iptables -t nat -A PREROUTING -p tcp -i $LAN -d $WANIP -j DROP
iptables -t mangle -A PREROUTING -p icmp --icmp-type redirect -j DROP
iptables -t mangle -A FORWARD -s $LANIP -d $LANIP -j DROP

这是iptables 脚本里的其中几句
我理解不到，为什么叫清理垃圾包，到底是什么意思

先谢谢好心的朋友。

biAji

基本上就是“没用”的包都Drop掉了。。。

zhoutao0712

请先仔细阅读《Iptables 指南 1.1.19》，读得明白一半了就会明白了。

bpxyz

清理垃圾包 这个说法欠妥！

假定 $LAN代表局域网接口，$LANIP代表内网网段，$WANIP为外网IP：

iptables -I FORWARD -m conntrack --ctstate INVALID -j DROP
将连接状态为INVALID的数据包丢弃

iptables -t mangle -A PREROUTING -i $LAN ! -s $LANIP -j DROP
将来自LAN口的数据包，但源地址不是LAN网段的数据包丢弃

iptables -t nat -A PREROUTING -p tcp -i $LAN -d $WANIP -j DROP
将从LAN口进入，目的IP为WAN口IP的数据包丢弃

iptables -t mangle -A PREROUTING -p icmp --icmp-type redirect -j DROP
将所有的ICMP REDIRECT包丢弃，即不允许重定向

iptables -t mangle -A FORWARD -s $LANIP -d $LANIP -j DROP
将源地址为内网网段，目的地址也为内网网段的数据包丢弃

mangle表的主要功能不是过滤，过滤最好在filter表里进行。

zswlb9999

iptables -t mangle -A FORWARD -s $LANIP -d $LANIP -j DROP
将源地址为内网网段，目的地址也为内网网段的数据包丢弃

这是不是内网的机也不能通信了.见LZ

piaopiao

确实是这样的。但清理完，你还要添加规则让它通讯的。
清理的意思是去掉一切连接，就象橡皮擦一样擦掉，让页面清晰，再重新开始。

piaopiao

确实是这样的。但清理完，你还要添加规则让它通讯的。
清理的意思是去掉一切连接，就象橡皮擦一样擦掉，让页面清晰，再重新开始。