iptables的组成

最新推荐文章于 2022-07-08 09:17:02 发布
最新推荐文章于 2022-07-08 09:17:02 发布
阅读量290 收藏
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superjundawn/article/details/116231514
版权

iptables由五个表和五个链以及规则组成
五个内置链:
INPUT,PREROUTING,FORWARD,OUTPUT和POSTROUTING
五个表:
filter表:过滤规则表,根据预定义的规则过滤符合的匹配条件,默认表
nat表:进行NAT转换
mangle表:修改数据标记位规则表
raw:关闭启用的连接跟踪机制,加快封包穿越防火墙速度
security:用于强制访问控制网络规则,由Linux安全模块实现
优先级高低:
security–>raw–>mangle–>nat—>filter
表和链的对应关系
在这里插入图片描述
在这里插入图片描述
数据包进入服务器后,首先是经过PREROUTING链,然后根据需求,如果是转发至本服务器的报文(需要CPU处理的),则转至INPUT链,如果是经过服务器(不需要CPU处理),则转至FORWARD链。
数据包出服务器比如经过POSTROUTING链,但是如果是服务器本机发出来的报文,那么还会经过OUTPUT链。

默认的是filter链
[root@centos7-1 ~]# iptables -vnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

通过-t指定相应的链
[root@centos7-1 ~]# iptables -vnL -t nat
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
可以看到每个链对应的表是不完全一样的

superjundawn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables原理及组成
JackLiu16的博客
02-27 420
iptables主要是利用linux的内核模块的Netfilter对数据包理能力工作。Netfilter在内核协议栈的网络层(IP)设置钩子函数(hook),对数据包进行截获iptables 有五条链(关卡)+四个表(Hook poit)+规则规则的有两个逻辑单元:匹配条件+动作规则是存储在表中的条目表可以理解为数据库之类的表,可以被“增删改查”iptables五条链和四个表的关系:规则的...
iptables 的结构简介
taozpwater的专栏
04-04 991
1、简介     iptable 是一个用户空间应用程序,允许系统管理员配置由 Linux 内核防火墙提供的表;iptable 专指 IPv4 网络。     要设置一个 Linux 防火墙,就要使用规则,每个规则指定在包中与什么匹配,以及对包执行什么操作。链 是一个规则列表。     Iptable 的前身 ipchains 增加规则链的概念;iptable 则将概念扩展为表。所以 ipt
Linux笔记-iptables规则原理和组成
IT1995的博客
03-24 541
Netfilter Netfilter:是Linux操作系统内核层内部的一个数据包理模块。 Hook point:数据包在Netfilter中的挂载点(PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING)。 用通俗的话解释下:数据包通过网卡,走到操作系统内核后,就会进入Netfilter中这5个挂载点。 可以在这5个挂载点进行Hook,修改数据包。 Netfilter与iptables iptables规则组成 组成部分:四张表 + 五条链
Iptables防火墙的四表五链概念以及使用技巧
江晓龙的博客
07-08 3161
在防火墙中,用户想要成功进入内网环境,就需要发送请求报文,请求报文要和防火墙设置的各种规则进行匹配和判断,最后执行相应的动作(放行或者拒绝),一个防火墙中通常针对不同的来源设置很多种策略,多个策略形成一个链,其实也可以理解成是分组的概念,在Iptables防火墙中针对不同的链路共分为五种不同的链。如下图所示,当数据报文进入链之后,首先匹配第一条规则,如果第一条规则通过则访问,如果不匹配,则接着向下匹配,如果链中的所有规则都不匹配,那么就按照链的默认规则理数据报文的动作。 Iptables有五种不同的链,分
iptables简明手册
08-06
如果你发现iptables(或其组成部分)任何bug或特殊的行为,请联系Netfilter mailing lists ,他们会告诉你那是否是bug或如何解决。iptables或Netfilter中几乎没有安全方面的bug,当然偶尔也会出些问题,它们能在...
netfilter/iptables(简称为iptables
01-09
netfilter/iptables(简称为iptables组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)...
Linux-iptables命令解析.doc
02-05
netfilter/iptables(简称为iptables组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)...
linuxIPTABLES配置详解
04-21
iptables(简称为iptables组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能
iptables-1.6.0.tar.bz2
05-05
防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信 息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。iptables 组件是一种工具 ...
linux 防火墙iptables详解
隔壁老猪
04-16 1654
一、iptables的表和链1.iptables/netfilter netfilter: hooks function :钩子函数,真正执行工作的 iptables:定义规则的,用户空间的命令行接口 钩子函数:内核的功能 netfilter:内核级别已经支持v6 iptables:主要...
Linuxiptables (1)相关概念
qq1319713925的博客
04-06 223
一:数据包经过内核的流向 到本机的数据包:prerouting->input 流经过本机的数据包:prerouting->forward->postrouting 本机发出的数据包:output->postrouting 数据包需要经过以上链的一一允许,才能流通。 二:规则表 以上的5条链 prerouting,input,forward,outpu...
iptables详解
wdt3385的专栏
12-25 4823
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
Linux系统防火墙概述
m0_49265034的博客
03-16 2537
文章目录一、概述二、三表五链 一、概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。 对于TCP/IP的七层模型来讲,我们知道第三层是网络层,三层的防火墙会在这层对源地址和目标地址进行检测。
iptables防火墙
Another_Feng的博客
03-24 518
iptables概述 Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的理上。 netfilter/iptables关系: netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤理的规则集。 iptables:属于“用户态”(User Space,又称为用户空间)的防
POSTROUTING与PREROUTING区别
热门推荐
Jis的专栏
12-30 1万+
POSTROUTING与PREROUTING区别 标题: prerouting和postrouting不理解 我大概清楚一点就是从内网出去的时候用POSTROUTING进来的时候用PREROUTING,可是做透明代理的时候确是用PREROUTING。这是为什么呢? 回复: sunnygg pre还是post是根据数据包的流向来确定的。 通常
12.9 防火墙服务(静态)iptable
qq_41627390的博客
12-20 175
1、 iptable表的介绍 iptable由三张表构成 1)fiter表:3个表头    ##访问本机内核的。 input          forward      output    input:对服务来说,当外界来消息时,消息在input里面,访问的是内核 output:服务发出的信息包,有内核发出。 forward:地址转换NAT的时候,路由器作为中间人的动作叫做 forward...
iptables的详细介绍及配置方法
weixin_33889245的博客
03-08 231
Firewall(防火墙):组件,工作在网络边缘(主机边缘),对进出网络数据包基于一定的规则检查,并在匹配某规则时由规则定义的理进行理的一组功能的组件。 防火墙类型:根据工作的层次的不同来划分,常见的防火墙工作在OSI第三层,即网络层防火墙,工作在OSI第七层的称为应用层防火墙,或者代理服务器(代理网关)。 网络层防火墙又称包过滤防火墙,在网络层对数据包进行选择,选择...
iptables修改数据包_Linux安全防范:详解iptables防火墙规则
weixin_42302638的博客
01-15 2049
我们知道iptables是按照规则来办事的,规则其实就是网络管理员预定义的条件,以下为iptables规则内容iptables规则iptables默认有3个规则链,分别是INPUT(输入),OUTPUT(输出),FORWARD(转发)-A:追加规则-I:新增规则-D:删除规则-R:修改规则-L:查看规则-N:定义新的规则链-p:指定协议类型-d:指定目标地址-s:指定来源地址-i:指定入口网卡-o...
iptables入门
最新发布
09-14
它由三张表组成:filter表,nat表和mangle表。每个表都有自己的规则和链,用于理不同类型的网络流量。 3. 创建iptables规则:要开始使用iptables,你需要了解它的规则语法和选项。你可以使用`iptables --help`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值