--- title: Lab Meeting Minutes 2022/5/27 tags: lab_meeting --- > Outline > [TOC] --- # PERAL Lab Meeting - 時間：111 年 5 月 27 日 10:00 - 地點：科三 321 - 出席者：吳坤熹老師(remote)、謝萬霖(remote)、周以恆(remote)、吳騰然、劉怡君、田蕙瑜、洪胤勛、丘世宇、莊才賢 - 會議主題： [iptable](https://l.facebook.com/l.php?u=https%3A%2F%2Fdocs.google.com%2Fpresentation%2Fd%2F1DLZWfp30eLn-zUXdNcmmagMh5gMnEFcsJwpskqNOqTs%2Fedit%3Fusp%3Dsharing%26fbclid%3DIwAR24JcqXJKeTnc0kXK76MY-pobN8JiWksyxkcDUaSZ6A85EDt_kVNRWXeJY&h=AT0JSAVDKOjejxKj-gy3dfcQ68NyauV_HyKo2ALYTL-b2rI3jwCoDxkuxBxBnOEgQKmhNWvULhxMgh7lW4fPtXYat7aefx9YF_eqlLDvfiZLGjkrpAqb5fAxR5q9G4Ram1N9LCxuIfEhUVaxj7Z4&__tn__=-UK-R&c[0]=AT17z6m3cOYUoKYVdDFP2wIzPeCHcUgpZwp72kzIYA-mVkcB9sST2xhhTUV2Ext2T1AqeOs2e3heyHvYd0vpCYm6WF4m8OYYmsUs3MsD-itkqYcU0P0mqvyLXBlU4SoRkJqGmL5L2XfdRtg1j_f6egbBSt_36ritayS3AbB_4rnc2QPcHj0GL3G9LuOyezzNakStupvSJaSh) - 主講者: 莊才賢 - 主記: 劉怡君 ## 會議內容 - How Linux solves network, the following are user space programs > 由很多 tables 去處理 - iptables - routing with **Layer 4** - routing tables - 處理 **Layer 3** packets，著重在 IP、Interface - - arp tables - between Layer 3 & Layer 2 - IP address <--> MAC address - ebtables - Layer 2/3 - iptables - 組成 - Chain - 封包發生的時間點(ex. INPUT, OUTPUT) - Table - 相同 rule 的集合 - 同個 table 內的 Chain 有相同的目的 - 種類 - raw - filter(進入本機的封包，default) - nat - mangle - 指令 - 操作 - 使用 iptables-save 存下操作指令 - 使用 iptables-restore 重新載入之前存的操作指令 - 觀察 - 常用 Options - `-L`: 列出所有規則 - `-n`: 不進行反查 - `-v`: 更多資訊 - `iptables-save`: 看到他原本的指令 - 指令架構 -  - table - 清除 table 內容 - `-F`: 清除所有的 rule - `-X`: 清除某個 table 內所有的 chain - `-Z`: 將所有 chain 的 rule 的 counter 歸零 - 處理各個 chain 的 policy: ACCEPT, DROP, REJECT - match - match 的條件 - Options - `--sport` - `--dport` - module - state: 分辨 connection 狀態 - new - established - related - invaild(checksum not matched) ### 建議&問題 1. iptables 的 module 有很多，之後會再詳細介紹嗎?[name=Edgar] Ans: 下次的重點是 NAT，有興趣的同學可以再自己去了解。 2. 當有流量被 drop 掉時，我可以知道他是被哪條 rules 擋掉的嗎?[name=Henry] Ans: `iptables-save -c` 可以列出 count 3. 舉例需要 forward 的情形 [name=Branko] Ans: router, load balancer 4. iptables 清除指令的 -F 跟 -X 在有下 -t 的情況下有什麼差別 Ans: -F 不會清掉 chain 5. iptables-restore 的使用時機示範(搭配 iptables-save)[name=Phoebe] Ans: iptables-save 可以將目前下過的 rules 存到文字檔，之後利用 iptables-restore 將該文字檔重新載入。 `iptables-save > rules.txt` `iptables-restore < rules.txt` 6. p.29 在 Demo 3時，有 gateway c[name=Angela] 7. DROP 跟 REJECT 的差別?[name=Toby] Ans: DROP 就不會回傳任何東西，有人來掃描他就不知道這裡到底有沒有服務；REJECT 會回傳拒絕服務 補充: **silently drop**，client 端不曉得自己被阻擋連線，因此會繼續嘗試。用於防範外部攻擊時可以拖延時間。 ## 待追蹤事項 1. [name=] ## 臨時動議 1. 實驗室迎新送舊活動形式、時間討論 [name=Phoebe] 2. 大三專題報告 6/1 晚上 18:10 分(有必要會需要再第二次報告)，6/10 因應期末考暫停乙次。 --- 散會結束時間：