[问题求助]iptables 的raw表在实际环境中有什么好的功用？ [复制链接]

man了一下，稀里糊涂的，不经过连接跟踪模块，有什么实际的功用吗？大.家.有谁用过？[成人用品]

raw table support (required for NOTRACK/TRACE)
    在iptables中添加一个'raw'表,该表在netfilter框架中非常靠前,并在PREROUTING和OUTPUT链上有钩子,从而可以对收到的数据包在连接跟踪前进行处理

增加raw表，在其他表处理之前，-j NOTRACK跳过其它表处理
状态除了以前的四个还增加了一个UNTRACKED
例如：
可以使用 “NOTRACK” target 允许规则指定80端口的包不进入链接跟踪/NAT子系统

iptables -t raw -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j NOTRACK
iptables -t raw -A PREROUTING -s 1.2.3.4 -p tcp --sport 80 -j NOTRACK
iptables -A FORWARD -m state --state UNTRACKED -j ACCEPT

注意的是一旦notrack了，就无法MASQUERD 了
对于防火墙后面有webserver，而且还要有公网IP的情况适用

QUOTE:原帖由 剑次狼 于 2009-1-15 22:30 发表
raw table support (required for NOTRACK/TRACE)
    在iptables中添加一个'raw'表,该表在netfilter框架中非常靠前,并在PREROUTING和OUTPUT链上有钩子,从而可以对收到的数据包在连接跟踪前进行处理

增加ra ...

相对实用的不是很多，只有一些要求比较的苛刻的时候才会用

QUOTE:原帖由 kns1024wh 于 2009-1-15 23:38 发表

相对实用的不是很多，只有一些要求比较的苛刻的时候才会用

是的，在以前版本没有的，应该是作为一个特殊需求提出的。

不进入连接跟踪子系统就怎么了，比较”苛刻的时候“又何解？请明解，谢谢！

QUOTE:原帖由 chinaglwo 于 2009-6-3 18:05 发表
iptables -t raw -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j NOTRACK

我用了这条之后，80端口都不通了，是怎么回事。

4楼最后的命令用了吗？

从来没有用过。
mangle都没用过。