zxygww的专栏

1、每个数据流在linux 内核中由一个struct sk_buff结构来表示，这个sk_buff结构有一个32位无符号整型的mark成员，用来保存该skb的mark标记值，在netfilter框架中可以动态修改该mark值。2、每条在linux内核中成功转发的数据流都会在netfilter中的conntrack模块中保存一条状态跟踪连接记录，这是个struct nf_conn结构，该结构中有

来自linux-2.6.36/net/ipv4/netfilter/nf_nat_helper.c注：该代码可以移植到ebtables中使用，但需要注意struct rtable *rt结构在ebtables中是没有的。修改UDP payload的代码：/* Unusual, but possible case. */static int enlarge_skb(struct

ebtables中的broute表功能：用于控制进来的数据包是需要进行bridge转发还是进行route转发，及2层转发和3层转发。BROUTING的ACCEPT/DROP和FORWARD中的区别： ACCEPTDROPBROUTINGbridge itroute itFORWARD接收该包，当前主Chain后面的ru

为了保证LAN-PC可以连接WAN-PC；需要做如下工作：1、  让LAN-PC可以访问到NAT-Router的LAN口。分析：因为该接口的IP是作为LAN-PC的默认网关地址，当LAN-PC去访问其他网段地址时，查询的数据包会转发到其网关地址，然后由网关对其进行转发。问题：由于物理接口eth1是桥接到br0下的，当数据包进入NAT-Router设备时，会进入ebtables模块进行b

http://www.oschina.net/question/234345_47404ebtables和iptables实用工具都使用了Netfilter框架，这是它们一致的一方面，然而对于这两者还真有一些需要联动的地方。很多人不明白ebtales的broute表的redirect和nat表PREROUTING的redirect的区别，其实只要记住两点即可，那就是对于相同点，它们都将

http://www.cnblogs.com/wangkangluo1/archive/2012/04/19/2457077.html一、iptables：从这里开始删除现有规则iptables -F(OR)iptables --flush设置默认链策略iptables的filter表中有三种链：INPUT, FORWARD和OUTPUT。

Netfilter/Ebtables/Iptables本地和转发流量的路径

默认队列大小为1024，当队列满或者无法通过netlink_unicast发送该skb时，该数据包会被丢弃。

net.bridge.bridge-nf-call-iptables对Netfilter中数据包的影响

一般情况下，是在bridge中设置IP地址，如果把网络接口如eth0/1，ath*等挂在该bridge之下，所有bridge的接口公用一个IP。而下面情况则不同。环境：为了保证LAN-PC可以连接WAN-PC；需要做如下工作：1、  让LAN-PC可以访问到NAT-Router的LAN口。分析：因为该接口的IP是作为LAN-PC的默认网关地址，当LAN-PC去访