iptables & netfilter 概述

最新推荐文章于 2024-07-11 10:31:11 发布
最新推荐文章于 2024-07-11 10:31:11 发布
阅读量985 收藏 1
点赞数
分类专栏: Linux系统 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq2012qiao/article/details/24391501
版权
1. iptables
    位于用户空间工具,用于编写规则,规则下发到netfilter。
    iptables演进:
      Linux 2.0 ---  ipfwadm 
      Linux 2.2 ---  ipchains
      Linux 2.4 ---  iptables/netfilter
              
2. netfilter 
    位于内核中,一种框架(framework)
    具有5个钩子点(hook function),或者理解为5条规则链(chains)
    5条链:INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING
    5个钩子函数: NF_IP_LOCAL_IN、NF_IP_LOCAL_OUT、NF_IP_FORWARD、NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING
          
2.1 报文流向
       ① 到本机
            PREROUTING -> INPUT
       ② 转发
            PREROUTING -> FORWARD -> POSTROUTING
       ③ 本机发出
            OUTPUT -> POSTROUTING

2.2 tables
       利用5条规则链,linux内核可以实现多种功能,主要有 raw、mangle、nat、filter
       每条链可以实现上述功能中的多个,每种功能的规则是分开存放的,可以理解为不同的表(table)

       每条链可实现的功能,或者下挂表如下:
          PREROUTING       raw/mangle/nat
          FORWARD            mangle/filter
          POSTROUTING   mangle/nat
          INPUT                   mangle/filter
          OUTPUT               raw/mangle/nat/filter
       各功能(table)优先级排序亦为 raw/mangle/nat/filter
 
       或者,从功能的角度考虑,各功能实现需要依赖的链(chains):
        ① raw
            PREROUTING / OUTPUT
        ② mangle    修改报文、附加数据
            PREROUTING / FORWARD / POSTROUTING / INPUT / OUTPUT
        ③ nat    源NAT、目的NAT
            PREROUTING / POSTROUTING / OUTPUT
        ④ filter   包过滤

            FORWARD / INPUT / OUTPUT  


小牡蛎
关注
专栏目录
netfilter & iptables 概述
Renie的专栏
05-07 1087
最近听了小组一位同学的讲座,
防火墙iptables&&firewalld
fajixianshouhu的博客
05-25 1769
一、IPtables介绍 分类: 逻辑分类:主机防火墙(个人)或网络防火墙(集体) 主机防火墙:针对单个主机进行防护 网络防火墙:它往往处于网络入口或者边缘,针对网络入口进行防护,服务于防火墙背后的局域网 物理分类:硬件防火墙和软件防火墙 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分基于软件实现,性能高,成本高 软件防火墙:应用软件处理逻辑运行于硬件平台之上,性能低,成本低 IPtables是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤(对osi模型的四层或者是
Linux防火墙-Netfilteriptables
最新发布
flytalei的博客
07-11 566
防火墙(FireWall ) :隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ(demilitarized zone)网络中.
netfilter&iptables探讨(1)——基本原理
dillanzhou的博客
08-07 630
在Linux内核中,netfilteriptables就提供了这样一套内核网络定制机制。本文将简单介绍netfilteriptables的原理、用途以及两者的关系,从而说明这套机制是如何实现通过用户态的简单配置,就能修改linux内核网络行为的。对netfilteriptables的具体实现和用法将在后续的文章中讨论。......
netfilter内核实现概述
qq_17045267的博客
01-23 2194
netfilter内核实现概述 一、前言 netfilter是Linux内核中网络防火墙的基础,无论是基于xtables的iptables,还是conntrack、nftables,其底层都是基于netfilter的。总体来说,netfilter提供了一个相对来说比较通用的防火墙框架,这个框架提供了个入口,内核中的其他网络模块可以通过这个入口来实现自己的网络逻辑。本文简单地对netfilter的整个框架以及其内核实现进行了梳理。 二、netfilter框架 2.1 基本原理 相比于那些基于netfilter
防火墙、Iptables、netfilter/iptables、NAT 概述
kfy2011的专栏
08-31 755
转自:防火墙的概述  一、防火墙的简介  防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性。它通过访问控制机制,确定哪些内部服务允许外部访问,以及 允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出内部网防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中
Linux-IPtables&Firewalld
自由
08-08 164
一、iptables 1、概述 • Linux 系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilteriptables组成 • 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上 2、netfilter netfilter属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系; 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 3、iptables iptables属于“用户态”(User Spac
IPTables工具及其与netfilter关系介绍
求索
03-23 1261
IPTables概述         IPTables是基于Netfilter基本架构实现的一个可扩展的数据报高级管理系统或核外配置工具,利用table、chain、rule三级来存储数据报的各种规则。Netfilter-iptables由两部分组成,一部分是Netfilter的"钩子",另一部分则是知道这些钩子函数如何工作的一套规则--这些规则存储在被称为iptables的数据结构之中。钩子函
Netfilter概述及其hook点
热门推荐
lw_yang的博客
09-14 1万+
Netfilter概述          Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptable...
linux 下的 iptables/ netfilter 防火墙 深度理解 中篇
bie_niu1992的专栏
05-29 864
概述 前篇主要提到了用户空间 iptables 1.3.5 源码对规则的处理。但是并没有涉及内核空间netfliter 模块的处理。用户空间上的规则要生效最终肯定是通过传给内核空间的netfilter,让netfliter这个老大哥处理。因此抛出两个问题。 用户空间的是怎么获取内核空间已经存在的规则,或者用户空间是如何将需要netfilter处理的规则下发给内核?简而言之,规则在用户空间是如...
Linux系统管理(3)——防火墙 iptables基本原理 四表五链 NetFilter 概述
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
06-02 1万+
Linux防火墙主要就行工作的部分在内核,这个模块叫NetFilter;我们平时配置的iptables是给我们的一个配置界面,我们通过iptables配置规则,配置之后,NetFilter通过这些规则来进行防火墙过滤等操作控制。NetFilter模块:它是主要的工作模块,位于内核中,在网络层的五个位置(也就是防火墙四表五链中的五链)注册了一些钩子函数,用来抓取数据包;把数据包的信息拿出来匹配各个各...
linux 下的 iptables/ netfilter 防火墙 深度理解 前篇
bie_niu1992的专栏
05-12 831
概述 iptables 其实不是真正的防火墙,我们可以把它理解为一个客户端代理,用户通过iptables 这个代理,将用户的安全设置执行到对应的“安全框架”中,这个安全框架才是真正的防火墙。这个框架的名称叫做netfilter 。 ...
linux 下的 iptables/ netfilter 防火墙 深度理解 后篇
bie_niu1992的专栏
07-01 561
概述 中篇已经提到了钩子函数的注册,也知道最终数据进来是通过钩子函数处理,来实现防火墙的功能的。那么netfilter 内核是在什么时候调用钩子函数?钩子函数又是怎么实现防火墙对应的功能的?(本章主要讲钩子函数实现的过滤功能)
Linux线程ID和进程ID
qq2007xia的专栏
07-30 4059
1. Linux线程的线程ID和进程ID Linux内核并不支持真正意义上的线程,Linux线程库是用与普通进程具有同样内核调度视图的轻量级进程来实现线程支持的。这些轻量级进程拥有独立的进程id,在进程调度、信号处理、IO等方面享有与普通进程一样的能力。 每个Linux线程都同时具有线程id和进程id,其中进程id就是内核所维护的进程号,而线程id则由线程库分配和维护。 1)
linux文件系统类型及mount
qq2007xia的专栏
10-30 3560
1. 查看系统所支持的文件系统的方法 1.1 通过命令查看    mount    df    fdisk    file    parted    fstab 1.2 通过系统文件查看     cat /proc/filesystems    ls /lib/modules/2.6.x/kernel/fs        例如,    # ls /lib/modu
嵌入式linux自动挂载U盘
qq2007xia的专栏
11-03 1315
hotplug+mdev机制实现U盘自动挂载、卸载 【背景1】   自动挂载磁盘分区的操作从底层来说,是要内核支持的,2.6 内核的sysfs 虚拟文件系统就提供了这一支持,这个文件系统 (/sys/) 通常用于 反应系统硬件信息,总线上的设备变化、网络设备的变化等事件在这里都能反应出来,这个文件系统的变化配合上内核的 hotplug 机制就可以 掌握硬件改动相关的信息。   说
Linux进程调度学习笔记
qq2007xia的专栏
07-10 1303
1. Linux进程调度的时机    Linux进程的调度时机大致分为两种情况:一种是进程自愿调度;另一种是发生强制性调度。    首先,自愿的调度随时都可以进行。在内核空间中,进程可以通过schedule()启动一次调度;在用户空间中,可以通过系统调用pause()达到同样的目的。如果要为自愿的暂停行为加上时间限制,在内核中使用schedule_timeout(),而在用户空间则使用nano
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值