Linux防火墙--iptables(一)基础篇

本文介绍了Linux防火墙iptables的基础知识,包括iptables的功能、Netfilter框架、五表五链的结构以及匹配和目标操作。讲解了iptables如何进行数据包过滤,并通过实例展示了状态追踪的重要性以及如何配置状态追踪规则。此外,还提及了iptables的地址转换和资源管理,如ip_conntrack模块对连接数量的影响。
摘要由CSDN通过智能技术生成

一.iptables 简介

      iptables防火墙是由Netfilter项目开发的,iptables提供了全面的协议状态跟踪、数据包的应用层检查、速率限制、指定策略过滤等。而iptables使用Netfilter框架进行过滤。Netfilter本身不对数据包进行过滤---它只是允许可以过滤数据包的函数挂接到内核的位置。


二.iptables的过滤策略

     iptables策略是由一组有序的规则建立的。其中体现在五表五链(其中security表是新加入的)

                   

表:1.filter(主要功能是过滤)

        2.nat(用于网络转换SNAT和DNAT)

        3.mangle(修改分组数据的特定规则)

        4.raw(独立于Netfilter连接跟踪子系统起作用的规则)

链:

       每个表都有自己的一组内置链,而链就在数据包流经的必经之路上,上图可见。

       1.INPUT链:当数据包要由内核流向Linux系统中必将经过INPUT链的检查,当然检查的规则是各个表上的规则。

       2.OUTPUT链:linux 系统自己生成的数据包流出本机。

       3.FORWARD链:管理经过Linux系统路由的数据包。

       4.

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值