上一篇记录了 Gentoo Linux 在新内核里把 iptables 从 legacy backend 切换到 xtables-nft-multi 的过程。宿主机切完之后，大部分自己写的防火墙脚本都能继续工作，因为命令还是 iptables，只是背后翻译成了 nftables 规则。

不过还有一个容易忽略的地方：Docker 容器里的程序也可能会调用 iptables。这次出问题的就是 Docker 版 wg-easy。

Read More

最近把 Gentoo Linux 的内核从 6.12 升级到了 6.18，过程本身没什么特别的，还是照旧 make oldconfig、检查一下必要的网络选项、编译、安装、重启。

不过重启之后发现 iptables 规则不太对劲。尤其是手搓路由器这种环境，iptables 一旦不正常，影响就比较直接：转发、NAT、docker、xray 这些依赖防火墙规则的东西都会跟着出问题。

Read More

通过前面《iptables 之 —— 新手入门(图文并茂, 一文读懂 iptables)》文章的学习, 对 iptables 整体有一个比较清楚的理解了. 那接下来就是实操了, 既然 iptables 是操作表, 作为程序员都应该比较熟悉了 CRUD 对应 iptables 就是添加规则, 删除规则, 替换规则, 查看规则.

BTW: 在 iptables 的命令中有一个约定, 表名: 小写, 链: 大写, 处理动作: 大写. 不写表名, 默认是 filter 表.

Read More

关于防火墙，这里就不多说了。 大家都知道 Linux 的防火墙（自带）—— iptables， 其实这么说是不准确的。 iptables 应该只能算是一个代理软件， Linux 真正的防火墙叫 netfilter。 这是位于内核空间的一个安全框架, iptables 是帮助你操作、配置 netfilter 的工具。 Linux 内核很少收录软件系统的，但是有两个除外， 一个是 netfilter ， 另一个是 LVS(Linux Virtual Server). 可见这两个软件的重要性。

在十几年前， LVS 非常的流行，只是现在CPU不值钱了，带宽不是问题了， Loadbalance 都慢慢的转去七层了。我不是搞运维的， 所以我 …

Read More