一、五链
*如果想要防火墙能够达到防火的目的,需要在内核中设置关卡,所有进出报文均通过这些关卡。经检查后符合放行条件的放行,符合阻拦条件的阻拦这些关卡被称为链。每条链上都有相应的规则*
INPUT链——进来的数据包应用此规则链中的策略
OUTPUT链——外出的数据包应用此规则链中的策略
FORWARD链——转发数据包时应用此规则链中的策略
PREROUTING链——对数据包作路由选择前应用此链中的规 则(所有的数据包进来的时侯都先由这个链处理)
POSTROUTING链——对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)
1、报文流向
到本机某进程的报文:PREROUTING----->INPUT
由本机转发的报文:PREROUTING--->FORWORD--->POSTROUTING
由本机进程发出的报文:OUTPUT--->POSTROUTING
二、四表
filter表 | 负责过滤功能,防火墙;内核模块:iptables_filter |
---|---|
nat表 | 网络地址转换;内核模块&# |