[问题求助]关于桥模式防火墙的问题？ [复制链接]

基于网桥模式的防火墙，为什么进来的包是经过mangle表的PREROUTING，出去的.包是经过mangle表的POSTROUTIN.G链，而不是经过NAT表的PREROUTING和POSTROU.TING链？？？？？？？？？？？？？？.

桥，
二层的。
能够做NAT吗？

如果给网桥配置IP的话，是可以做NAT的。

另外应该是经过nat表的，只是顺序在mangle表之后。

楼上能否就你对mangle表理解方式说一下？？？
这是iptables1.1.9指南上关于mangle表的解释:
mangle 表
这个表主要用来mangle包，你可以使用mangle匹配来改变包的TOS等特性。


强烈建议你不要在这个表里做任何过滤，不管是DANT，SNAT或者Masquerade。


以下是mangle表中仅有的几种操作：


TOS

TTL

MARK

TOS操作用来设置或改变数据包的服务类型域。这常用来设置网络上的数据包如何被路由等策略。注意这个操作并不完善，有时得不所愿。它在Internet上还不能使用，而且很多路由器不会注意到这个域值。换句话说，不要设置发往Internet的包，除非你打算依靠TOS来路由，比如用iproute2。

TTL操作用来改变数据包的生存时间域，我们可以让所有数据包只有一个特殊的TTL。它的存在有一个很好的理由，那就是我们可以欺骗一些ISP。为什么要欺骗他们呢？因为他们不愿意让我们共享一个连接。那些ISP会查找一台单独的计算机是否使用不同的TTL，并且以此作为判断连接是否被共享的标志。

MARK用来给包设置特殊的标记。iproute2能识别这些标记，并根据不同的标记（或没有标记）决定不同的路由。用这些标记我们可以做带宽限制和基于请求的分类。

上面的解释是为路由的包打标记的，但是我不是很理解为什么基于桥模式的防火墙，首先是基于mangle表的prerouting链处理。


桥模式的防火墙能对NAT表操作吗？

[ 本帖最后由 songpure520 于 2008-1-11 13:24 编辑 ]

如果是桥的话，应该是 filter 表才对
mangle 表是处于最先位置上的，PREROUTING 是第一个挂载点，所以 mangle 的 PREROUTING 是现有 iptables 支持的第一个接触数据包的位置