[问题求助]各位用iptables的大哥对分片是如何处理的？请教 [复制链接]

有时一个.包太大，不可能.适合所有线路。这样的话，包会被分成片，然后当作多个包发送。最终重组这些分片来重建整个包。     外汇

分片的问题.是.，被检查的初始片含有整个头部字段（IP+TCP，UDP和ICMP），但随后的包只有一部分头（没有附加协议字段的IP），因此，检查后面的分片的头部（就像有TCP、UDP和ICMP一样）是不可能.的。     外汇

如果你在做NAT或连接追踪，那么所有分片在.包过滤代码.处理以前都会合并，所以你不需要为分片担心。               乙肝

还请.注意，到filter表中的INPUT链（或者任何由NF_IP_LOCAL_IN钩子程序钩入的表）的.包实际上由核心IP栈片重组后到达。 .

否则，.理解分片是如何被过滤规则处.理的就非常重要.了。任何过滤规则要求我们没有的信息，将被认为不匹配。这意味着（分片的）第一片像普通的包一样被处.理。第二及后面的片则不会。因此，规则 -p TCP --sport www（指定源端口为'www'）永远不会匹配一个分片（的包）（除了第一片），相反的规则 -p TCP --sport ! www也不会。 .

无论如何，你可以用'-f'.（或'--fragment'）标记指定专门处理第二及以后的分片的规则。当然也可以指.定一个规则，让它不去匹配第二及以后的分.片，在'-f'前加上'!'。 --------------彩票

通常，让.第二及以后的.分片通过被认为是安全的，因为如果过滤处理了第一片，那么就无法在目标.主机上进行重组。不过，已知的Bug是发送分片可能会轻易的让主机崩溃。你自己看着办吧。 .
复制代码

通过也不是,.不通过又可能出错...究竟该如何?           建材

在什么地方遇到了这个问题，而必须对碎片进行处理？

哈哈，只是问问各位大哥假如碰到这种情况会怎么处理，倒不是我遇见了，我现在只是先了解一下Netfilter/iPtables，先玩一下...
谢谢...