iptables四表五链介绍

最新推荐文章于 2024-07-23 10:28:28 发布
最新推荐文章于 2024-07-23 10:28:28 发布
阅读量249 收藏 2
点赞数
文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44944641/article/details/113105185
版权

目录:

一、iptables介绍:

iptables 并不是真正意义上的防火墙,我们可以理解为一个客户端工具,用户通过ipatbles这个客户端,将用户的安全设定执行到对应的"安全框架"中,这个"安全框架"才是真正的防火墙,这个框架的名字叫netfilter

netfilter才是防火墙真正的安全框架,netfilter位于内核空间
iptables是一个命令行工具,位于用户空间,通过这个命令行工具来操作netfilter。

  • 内核空间:也叫做内核态,操作系统占据的内存区域
  • 用户空间:也叫做用户态,用户进程所在的内存区域

硬件驱动代码运行在内核空间,与kernel运行在相同空间内,所以驱动程序发生问题容易造成系统的崩溃。将用户空间与内核空间隔离开,可减少系统崩溃的可能,提高系统的稳定性。再现实环境中,应用程序崩溃的情况比一些硬件故障出现的概率要多的多得多。所以将用户空间和内核空间隔离开很有必要。

netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。

在这里插入图片描述

1.防火墙分类:

从逻辑上分类:

分类说明
主机防火墙针对单个主机进行防护
网络防火墙处于网络入口或者边缘,针对网络入口进行防护,服务于防火墙背后的本地局域网

从物理上分类:

分类说明
硬件防火墙在硬件级别实现部分防火墙功能,另一部分功能基于软件实现,性能高,成本高
软件防火墙应用软件处理逻辑运行于通用硬件平台之上的防火墙,性能低,成本低

二、四表五链详解:

防火墙是按照规则办事的,我们就来说说规则(rules),规则其实就是网络管理员预定义的条件,规则一般的定义为"如果数据包头符合这样的条件,就这样处理这个数据包"。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。

当客户端访问服务器的web服务时,客户端发送报文到网卡,而tcp/ip协议栈是属于内核的一部分,所以,客户端的信息会通过内核的TCP协议传输到用户空间中的web服务中,而此时,客户端报文的目标终点为web服务所监听的套接字(IP:Port)上,当web服务需要响应客户端请求时,web服务发出的响应报文的目标终点则为客户端,这个时候,web服务所监听的IP与端口反而变成了原点,我们说过,netfilter才是真正的防火墙,它是内核的一部分,所以,如果我们想要防火墙能够达到"防火"的目的,则需要在内核中设置关卡,所有进出的报文都要通过这些关卡,经过检查后,符合放行条件的才能放行,符合阻拦条件的则需要被阻止,于是,就出现了input关卡和output关卡,而这些关卡在iptables中不被称为"关卡",而被称为"链"。
在这里插入图片描述
这只是一个简单的描述,除过这两个关卡以外,我们还有其他关卡,也就是其他链,他们就是 “路由前”、“转 发”、“路由后”,对应英文表示为PREROUTING、FORWARD、POSTROUTING。
在这里插入图片描述
报文的流向: 到本机某进程的报文:PREROUTING --> INPUT 由本机转发的报文:PREROUTING --> FORWARD–> POSTROUTING 由本机的某进程发出报文(通常为响应报文):OUTPUT --> POSTROUTING

1.链:

五链的具体作用:prerouting:判断是否为本地—>①若为本地 input—>②若不为本地—> forward(地址转化)—>postrouting

PREROUTINGraw表,mangle表,nat表
INPUTmangle表,filter表,(centos7中还有nat表,centos6中没有
FORWARDmangle表,filter表
OUTPUTraw表,mangle表,nat表,filter表
POSTROUTINGmangle表,nat表

2.表:

说明
filter表负责过滤功能,防火墙;内核模块:iptables_filter
nat表network address translation,网络地址转换功能;内核模块:iptable_nat
mangle表拆解报文,做出修改,并重新封装 的功能;iptable_mangle
raw表关闭nat表上启用的连接追踪机制;iptable_raw
表(功能)链(钩子)
rawREROUTING,OUTPUT
mangleREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
natREROUTING,OUTPUT,POSTROUTING(centos7中还有INPUT,centos6中没有)
filterINPUT,FORWARD,OUTPUT

iptables为我们定义了4张"表",当他们处于同一条"链"时,执行的优先级如下。
优先级次序(由高而低)raw --> mangle --> nat --> filter
在这里插入图片描述

ღ᭄小艾ヅ࿐
关注
iptables防火墙
Another_Feng的博客
03-24 976
iptables概述 Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 netfilter/iptables关系: netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 iptables:属于“用户态”(User Space,又称为用户空间)的防
iptables 四表五链
weixin_34417814的博客
09-26 577
一、什么是iptables   iptables是Linux的防火墙管理工具而已,真正实现防火墙功能的是Netfilter,我们配置了iptables规则后Netfilter通过这些规则来进行防火墙过滤等操作   Netfilter模块:   它是主要的工作模块,位于内核中,在网络层的五个位置(也就是防火墙四表五链中的五链)注册了一些钩子函数,用来抓取数据包;把数据包的信息拿出来匹配各个各个...
iptables四表五链
最新发布
Will_1130的博客
07-23 171
mangle 表:负责修改数据包,预设的链有 PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD。nat 表:负责网络地址转换,预设的链有 PREROUTING、POSTROUTING、OUTPUT。raw 表:负责确定数据包是否被状态跟踪机制处理,预设的链有 PREROUTING、OUTPUT。filter 表:负责过滤功能,预设的链有 INPUT、FORWARD、OUTPUT。OUTPUT 链:处理出去的数据包。INPUT 链:处理进入的数据包。
iptables里的四表五链
jin861625788的专栏
09-02 853
iptables只是Linux防火墙的管理工具而已,位于/sbin/iptables。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。      iptables包含4个表,5个链。其中表是按照对数据包的操作区分的,链是按照不同的Hook点来区分的,表和链实际上是netfilter的两个维度。      4个表:filter,nat,mangle,raw,默
Iptables四表五链
Jack_chao_的博客
07-20 1492
iptables只是防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。iptables具体是如何去过滤各种规则的呢?请看下面的四表五链正常的访问流程图。
Linux驱动整理1
boundlessAbjure的专栏
12-04 183
字符设备与块设备 打印驱动log copy_to_user()和copy_from_user() 主设备号和次设备号 DMA的作用 中断服务 系统启动过程 并发和同步 内存机制 内核函数mmap的实现 同步/异步,阻塞/非阻塞 ,并发和并行/串行 ,同步和互斥 进程与线程 FIQ与IRQ的区别 Kernel Panic常见原因 linux中内核空间、用户空间 **字符设备与块设备 字符设备:字符设备是个能够像字节流(类似文件)一样被访问的设备,由字符设备驱动程序来实现这种特性。 字符设备驱动程序通常至少.
iptables四表五链与NAT工作原理
tinychen
02-25 2459
本文主要介绍iptables的基本工作原理和四表五链等基本概念以及NAT的工作原理。 1、iptables简介 我们先来看一下netfilter官网对iptables的描述: iptables is the userspace command line program used to configure the Linux 2.4.x and later packet filtering ruleset. It is targeted towards system administrators. Si
防火墙的基本概念及iptables四表五链详解
nigar_的博客
08-12 2431
防火墙的基本概念及iptables四表五链详解 1.防火墙的基本概念 防火墙是位于内外网之间的一组软硬件部件的组合,主要目的就是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离
iptables四表五链讲解
weixin_46315488的博客
03-06 711
防火墙是按照规则办事的,我们就来说说规则(rules),规则其实就是网络管理员预定义的条件,规则一般的定义为"如果数据包头符合这样的条件,就这样处理这个数据包"。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如:TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则
Linux--防火墙{Firewalld和Iptables的关系,iptables四表五链,firewalld网络区域以及通过图形工具进行操作}
m0_47219942的博客
07-30 1442
Linux--防火墙{Firewalld和Iptables的关系,Firewalld配置方法,网络区域以及通过图形工具进行操作}前言一:Firewalld和Iptables概述1.1:Firewalld简介1.2:iptables简介二:Firewalld和Iptables的关系2.1:netfilter2.2:Firewalld、iptables2.3:netfilter和Firewalld,iptables关系2.4:Firewalld和iptables的区别2:5:CentOS 6 和CentOS 7
iptables防火墙理论(附四表五链
下一个艺术家
12-01 288
软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙,性能低,成本低。如:iptables firewall(CentOS7独有的)等。本篇博客详细介绍了防火墙iptables理论
iptables四表五链
kakaka666的博客
06-04 1317
对数据包做路由选择之后,将应用此链中的规则,然后将进行路由选择,确认数据包的目标地址是否是防火墙本机,结合内核传送给。当数据包到达防火墙时,如果对应的链内有规则存在,将按照顺序依次从。:出流量,其实就是防火墙本机向外的地址发送数据包,首先被。链做处理,确认通过之后,便可以交给服务器端来进行响应。来进行处理是否需要通过或直接丢弃,最后将交给。:如果是外边的数据包到达防火墙后,要先通过。:如果是外边的数据包到达防火墙后,要先通过。,其表内包括五个链:prerouting。做相关处理,随后进行路由选择,
iptables四表五链
fengqingyundan2012的博客
03-08 321
iptables概念 iptables只是Linux防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。 四表五链概念 filter表——过滤数据包Nat表——用于网络地址转换(IP、端口)Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOSRaw表——决定数据包是否被状态跟踪机制处理
iptables防火墙(四表五链
m0_74848517的博客
02-05 1304
mangle表 =>PREROUTING链 POSTROUTING链 INPUT链 OUTPUT链 FORWARD链。转发:PREROUTING===>FORWARD===>POSTROUTING。IP范围匹配:-m iprange --src-range IP范围。多端口匹配:-m multiport --sports 源端口列表。MAC地址匹配:-m mac --mac-source MAC地址。状态匹配:-m state --state 连接状态。
iptables四表五链及规则组成
wfs
04-05 5830
iptables组成:四张表 + 五条链(Hook point) + 规则 iptables和netfilter的关系: Netfilter: Netfilter是linux操作系统核心层内部的一个数据包处理模块 Hook point:数据包在Netfilter中的挂载点(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING ) iptables只是Linux...
iptables四表五链图解
10-18
iptables 是 Linux 系统下的一个防火墙工具,它可以通过过滤、转发、修改数据包等方式来控制网络流量。iptables 由四个表和五个链组成,它们分别是: 1. filter 表:用于过滤数据包,是默认的表。 2. nat 表:用于网络地址转换,如端口映射等。 3. mangle 表:用于修改数据包的 TOS、TTL 等信息。 4. raw 表:用于配置连接追踪和数据包状态检测。 五个链分别是: 1. INPUT 链:处理进入本机的数据包。 2. OUTPUT 链:处理从本机发出的数据包。 3. FORWARD 链:处理转发的数据包。 4. PREROUTING 链:在数据包进入路由之前进行处理。 5. POSTROUTING 链:在数据包离开路由之后进行处理。 下面是一个简单的 iptables 四表五链图解: ``` +-----------------------+ | mangle | +-----------------------+ | nat | +-----------------------+ | filter | +-----------------------+ | raw | +-----------------------+ +-----------------------+ | PREROUTING | +-----------------------+ | INPUT | +-----------------------+ | FORWARD | +-----------------------+ | OUTPUT | +-----------------------+ | POSTROUTING | +-----------------------+ ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值