Предполагается, что
/dev/shm
используется только функциями shm_*
и sem_*
, реализующими функции общей памяти POSIX и и семафоров . Она используется уже довольно давно и, учитывая её роль, имеет смысл хранить её в памяти.
/sys/fs/cgroup
больше похожа на виртуальную файловую систему, используемую для cgroups, поэтому опять же имеет смысл хранить её в памяти, так же как и /proc
.
Остальные каталоги являются частью нового каталога /run
предложения , сделанного Леннартом Поэтерингом, автором systemd:
/run
теперь является tmpfs, и/var/run
к нему привязана./var/lock
привязан к/run/lock
.
OpenSuse использует systemd, так что вы не можете избавиться от них, насколько я знаю.
.
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -P FORWARD -j DROP
iptables -A FORWARD -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED -j ACCEPT
Что делают эти правила?
-A POSTROUTING -o eth1 -j MASQUERADE
скрывает ваш внутренний IP, так как пакеты покидают вашу сеть-P FORWARD -j DROP
устанавливает политику по умолчанию для вашей цепочки FORWARD на DROP-A FORWARD -o eth1 -m state --state НОВИНКА, ESTABLISHED -j ACCEPT
допускает новые и установленные ЗАПРЕЩЕННЫЕ соединения-A FORWARD -i eth1 -m состояние --state ESTABLISHED - j ACCEPT
разрешает только установленные FORWARDed соединения в Правила выше предполагают, что вы используете этот ящик в качестве шлюза/брандмауэра, при этом eth1
подключен к вашей WAN и eth0
подключен к вашей локальной сети.
Дополнительное считывание: Построение маршрутизации и маскировка IP-адресов
EDIT
Для настройки "условной" переадресации портов:
По порту источника
iptables -A PREROUTING -t nat -i eth1 -p tcp --sport [trusted_source_port] --dport [external_port] -j DNAT --to [internal_ip]:[internal_port]
iptables -A FORWARD -p tcp -d [internal_ip] --dport [internal_port] -j ACCEPT
По IP-адресу источника
iptables -A PREROUTING -t nat -i eth1 -p tcp -s [trusted_source_ip] --dport [external_port] -j DNAT --to [internal_ip]:[internal_port]
iptables -A FORWARD -p tcp -d [internal_ip] --dport [internal_port] -j ACCEPT