Linux防火墙 - netfilter的四表五链概述

最新推荐文章于 2024-05-21 22:42:10 发布
最新推荐文章于 2024-05-21 22:42:10 发布
阅读量1.8k 收藏 9
点赞数 4
分类专栏: Linux 运维 文章标签: linux netfilter iptables 防火墙 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/angelqucheng/article/details/90032897
版权

Linux防火墙 - netfilter的四表五链概述

iptables作为Linux发行版自带的防火墙管理工具,通过调用内核netfilter模块实现流量的转发、控制、跟踪功能,是Linux内核中实现包过滤的内部结构。

四表五链概念

四表:filter、nat、mangle、raw
五链:PREROUTING、FORWARD、INPUT、OUTPUT、POSTROUTING

在这里插入图片描述
四表:
filter表——涉及FORWARD、INPUT、OUTPUT三条链,多用于本地和转发过程中数据过滤;
Nat表——涉及PREROUTING、OUTPUT、POSTROUT三条链,多用于源地址/端口转换和目标地址/端口的转换;
Mangle表——涉及整条链,可实现拆解报文、修改报文、重新封装,可常见于IPVS的PPC下多端口会话保持。
Raw表——涉及PREROUTING和OUTPUT链,决定数据包是否被状态跟踪机制处理,需关闭nat表上的连接追踪机制。

五链:
INPUT链——进入本地的数据包应用此规则链中的策略;
OUTPUT链——流出本地的数据包应用此规则链中的策略;
FORWARD链——转发数据包时应用此规则链中的策略;
PREROUTING链——对数据包作路由选择前应用此链中的规则;
POSTROUTING链——对数据包作路由选择后(包含流出本地的二次路由)应用此链中的规则;
五个链也分别被形象的称为五个钩子(hook)函数。

Netfilter数据包从入到出的全流程:
在这里插入图片描述
借此图帮助理解netfilter实现机制。

常见数据流向:
流入: PREROUTING → INPUT
流出: OUTPUT → POSTROUTING
转发: PREROUTING → FORWARD → POSTROUTING

搞清netfilter流程对于我们理解iptables是很有帮助的,iptables只是一系列的规则生成器,而真正想要实现防火墙相关功能还是得要借助netfilter的处理机制。

angelqucheng
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
firewall:适用于Linux的简单防火墙
03-08
它是为在Linux操作系统上工作而设计的。 概述 该应用程序的基本流程如下: 使用netfilter捕获传出数据包。 对于捕获的数据包,请找出进程名称。 检查规则以允许或禁止数据包。 DNS捕获 捕获传入的dns数据包...
Linux网络之iptables 防火墙——四表/五链、数据包匹配流程、编写iptables规则
m0_74282605的博客
03-08 921
入数据流向:如果是外边的数据包到达防火墙后,要先通过prerouting 链:对数据包做路由选择之后,将应用此链中的规则,然后将进行路由选择,确认数据包的目标地址是否是防火墙本机,结合内核传送给input链做处理,确认通过之后,便可以交给服务器端来进行响应。每个规则表,其实就相当于一个内核空间的容器,按照规则集的不同用途进行划分为默认的四个表,在每个规则表中包含不同的规则链,处理数据包的不同时机分为五种链,决定是否过滤或处理数据包的各种规则并按照先后顺序存放在各规则链中。
iptables 过滤过程理解(四表五链
叮当猫的喵i
10-26 1252
链是规则的容器,一条链中可能包含着众多的规则,当一个数据包到达一个链时,iptables 就会从链中第一条规则开始匹配,如果满足该规则的条件,系统就会根据该条规则所定义的方法处理该数据包,否则将继续匹配下一条规则,如果该数据包不符合链中任一条规则,iptables 就会根据该链预先定义的默认策略来处理数据包。规则存储在内核空间的信息包过滤表中,数据包每经过一个链(关卡)时,系统会根据链中规则指定的匹配条件来尝试匹配,一旦匹配成功,则由规则后面指定的处理动作进行处理。它能改变 TCP 头中的 QoS 位。
Linux防火墙篇——iptables
最新发布
aran2002的博客
05-21 1191
Linux 系统的防火墙 :IP信息包过滤系统,它实际上由两个组件netfilteriptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。
计算机网络day16 防火墙 - iptables - netfilter - iptables四表五链 - iptables命令 - iptables的匹配条件 - iptables端口实验
lpfstudy的博客
08-03 938
iptables的条件:1.协议:tcp udp icmp-p protocol 小写的p-p icmp --icmp-type 8 ping请求报文-p icmp --icmp-type 0 ping响应报文2.端口号:3.ip地址-s source4.mac地址5.状态6.其他ens33接口上不接收tcp三次握手的第一个包--》不允许新的连接产生了常见的数据包处理方式ACCEPT:放行数据包DROP:丢弃数据包REJECT:拒绝数据包,给一个回复。
Linux防火墙——iptables(四表五链)
zcien的博客
02-12 1948
Linux防火墙iptables(四表五链)详解
Linux 防火墙:netfilteriptables、firewalld、firewall-cmd、ufw
freeking101的博客
04-19 1万+
防火墙 (Firewall) 也称防护墙,是隔离两个网络的一种 隔离技术,它是位于 "内部网络" 与 "外部网络" 之间的一项信息安全的防护系统。依照特定的规则来控制 "进入、出去"的网络流量(数据包),即拦截和放行数据包。拦截有害的包,放行正常的包。防火墙可以比喻为"通信警察",让正常的包通过,有害的包都过滤掉,最大限度地阻止黑客来访问你的网络。
linux netfilter路由表,linux网络相关,firewalld和netfilter,netfilter5表5链介绍,itptables语法...
weixin_30152861的博客
05-13 371
Linux网络相关: 如果没有 ifconfig 命令 那么需要安装一个包(yum install net-tools)如果 ifconfig 命令查看不到网卡的话,那么可以使用 ifconfig -a 查看(网卡down掉时使用这个命令)down=网卡被关闭ifdown 网卡名字 关闭网卡ifup 网卡名字 开启网卡在远程终端上面使用了 ifdown 关闭了网卡,那么必须在本地机器上面使用 if...
firewall:由KERNEL部分和USERSPACE部分组成Linux防火墙
04-04
项目简介概述:基于netfilter APILinux防火墙。 您可以使用它来阻止特定源ip /目标ip /源端口/目标端口/协议的数据包。 此外,它还支持用户友好的日志和“启动时启动”等可爱的小功能。 项目结构:linux LKM(可加载...
Centos7的Firewalld防火墙基础命令详解
01-10
一、Linux防火墙的基础 Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux系统的防火墙体系基于内核共存:firewalld、iptables、ebtables...
操作系统安全:Netfilter框架.pptx
06-01
1、Netfilter概述 Netfilter/IPTablesLinux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的...
iptables四表五链以及一些应用小场景
dayouzi的博客
10-30 637
iptablesLinux防火墙管理工具而已,真正实现防火墙功能的是Netfilter,我们配置了iptables规则后Netfilter通过这些规则来进行防火墙过滤等操作Netfilter模块:它是主要的工作模块,位于内核中,在网络层的五个位置(也就是防火墙四表五链中的五链)注册了一些钩子函数,用来抓取数据包;把数据包的信息拿出来匹配各个各个链位置在对应表中的规则:匹配之后,进行相应的处理ACCEPT、DROP等等。下面这张图很明了的说明了Netfilteriptables之间的关系。
防火墙的五表五链N规则---个人理解整理
搞怪小新
05-30 727
目录 selinux netfilter、firewalld Iptables 五表----有时候称为四表(filter、nat、managle、raw ) 五链 selinux selinux 是 Redhat/CentOS 系统特有的安全机制。不过因为这个东西限制太多,配置也特别繁琐所以几乎没有人去真正应用它。所以装完系统,我们一般都要把selinux关闭,以免引起不必要的麻烦。关闭 selinux 的方法为,使 “SELINUX=disabled”, 默认为 enforcing。
Linux防火墙之“四链五表”
cjzcc1996的博客
07-16 1825
防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 能够指定火墙策略的两个工具包:iptables和firewalld Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙或称作网络层防火墙(iptables) Firewalld:只用于管理Linux防火墙的命令程序,属于“用...
iptables四表五链
热门推荐
echo_bright_的博客
07-20 2万+
如下是具有双网卡的Linux服务器,数据入口网卡是eth0,数据出口网卡是eth1: 而Linux**防火墙**的工作区域为下图中的绿色阴影部分(防火墙的概念这里不赘述): Linux系统中防火墙功能的两大角色:iptables和netfilteriptablesLinux系统下应用层内置控制防火墙的工具,netfilter则是防火墙功能的具体实现,是内核空间的功能模块。所谓的ip...
netfilter5表5链介绍
weixin_34296641的博客
05-09 311
#man iptablescentos7之前只有4张表,centos7开始后5张表,加了security表filter是一个默认的表,包含三个内置的链:INPUT、FORWARD、OUTPUTINPUT是进来时需要经过的链,发现原ip是什么,发现可以ip禁用掉;FORWARD是判断目标地址是不是本机,如果不是本机,需要经过FORWARD链,把目标地址做个更改或转发;OUTPUT是在本机产生的一些包...
10.13 netfilter5表5链介绍
weixin_34088598的博客
11-29 258
2019独角兽企业重金招聘Python工程师标准>>> ...
Netfilter/iptables 简要分析
刘锐群的笔记
10-16 690
1. Netfilter的命令结构 (1)filter 表的任务是执行数据包的过滤操作。即起到防火墙的作用。 (2)nat 表的功能是IP分享器。 (3)mangle 表的可以修改经过防火墙内的数据包的内容,也可以为特定的数据包来标示不同的识别码。 (4)raw 表能够加快数据包穿过防火墙机制的速度,提高防火墙的性能。 2.Netfilterfilter 机制 (1)I
netfilter学习总结一:规则结构表示及其内存布局
ljq32的专栏
12-07 765
最近对netfilter进行了研究,已经搞明白了其框架结构、运行流程、以及与iptables的交互流程包括规则设置,慢慢总结一下理解的知识,记录下来,加深理解,以防忘记。 另外,虽然我只是记录我的学习过程,以免忘记,而且不成体系,但是字段说明增加了结构体的重要字段在程序里的关键点的使用时机,这个是网上资料所没有的,网上资料只说明字段含义,从不说什么时候用,什么时候赋值,在哪里...
netfilter 本质就是四表五链吗?
06-01
是的,netfilter 的本质就是四表五链。四表分别是: 1. filter 表:用于过滤数据包,可以实现对数据包的拦截和放行等操作。 2. nat 表:用于网络地址转换,可以实现对数据包的源地址、目的地址等信息的修改。 3. mangle 表:用于对数据包进行修改,例如修改 TTL、TOS 等字段。 4. raw 表:用于数据包不需要进行连接跟踪时的处理。 五链分别是: 1. PREROUTING 链:数据包进入系统后,但还没有到达本地处理前的处理链。 2. INPUT 链:数据包到达本地后,交给本地进程前的处理链。 3. FORWARD 链:数据包需要转发到其他主机时的处理链。 4. OUTPUT 链:本地进程向外发送数据包时的处理链。 5. POSTROUTING 链:数据包离开系统前的处理链。 通过这些表和链的组合,netfilter 可以实现对数据包的各种处理和过滤,从而实现防火墙、网络地址转换、质量服务等功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值