Openwrt中的三表五链

于 2024-09-17 20:42:33 发布
阅读量336 收藏 7
点赞数 16
分类专栏: 网络和Openwrt 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengidea/article/details/142318556
版权

OpenWrt 是一个基于 Linux 的开源固件项目,广泛用于嵌入式设备如路由器。在 OpenWrt 中,网络流量管理和过滤主要通过 Netfilter 和 iptables 实现,这些工具使用表(tables)和链(chains)来组织和处理网络流量规则。在 OpenWrt 中,"三表五链"是一个常见的术语,用于描述 iptables 中最基本的表和链结构。
三表(Tables)
在 iptables 中,表是用来集合特定类型的规则的。每个表包含一组链,用于处理不同类型的数据包。OpenWrt 中常用的三个表是:

  1. Filter Table:
    ○ 默认表,用于决定数据包的命运,如允许或阻止(接受、拒绝、丢弃)数据包。
    ○ 主要用于控制网络访问和流量过滤。
  2. NAT Table:
    ○ 用于网络地址转换(NAT),如地址重写、端口转发等。
    ○ 主要处理进出设备的数据包,如改变源或目标地址。
  3. Mangle Table:
    ○ 用于修改数据包的服务类型(QoS)、路由标记等特殊操作。
    ○ 可以用于高级路由功能和流量控制。
    五链(Chains)
    每个表中包含多个预定义的链,这些链定义了数据包在网络栈中的处理点。五个最基本的链是:
  4. INPUT Chain(输入链):
    ○ 处理进入本机的数据包。
    ○ 在 Filter 和 Mangle 表中使用。
  5. OUTPUT Chain(输出链):
    ○ 处理从本机发出的数据包。
    ○ 在 Filter、Mangle 和 NAT 表中使用。
  6. FORWARD Chain(转发链):
    ○ 处理经过本机转发到其他设备的数据包。
    ○ 在 Filter 和 Mangle 表中使用。
  7. PREROUTING Chain(预路由链):
    ○ 处理到达本机之前的数据包,用于决定数据包的路由目的地。
    ○ 在 NAT 和 Mangle 表中使用。
  8. POSTROUTING Chain(后路由链):
    ○ 处理即将离开本机的数据包。
    ○ 在 NAT 和 Mangle 表中使用。
    这些表和链的组合提供了强大的网络流量管理和控制功能,使得 OpenWrt 可以灵活地处理各种网络环境和需求。通过配置这些表和链中的规则,用户可以实现复杂的网络策略,如防火墙规则、NAT设置、流量监控和路由优化等。

好的,我将为您详细介绍OpenWrt中的三表五链:
三表 (Tables)

  1. Filter 表
    ○ 主要功能: 数据包过滤,防火墙规则
    ○ 包含的链: INPUT, FORWARD, OUTPUT
    ○ 详细说明:
    ■ 这是最常用的表,用于控制数据包是否允许通过防火墙
    ■ 可以设置规则来允许或阻止特定IP、端口或协议的流量
    ■ 例如,可以在INPUT链中设置规则阻止来自特定IP的访问
    ■ 在FORWARD链中可以控制不同网络接口之间的流量转发
  2. NAT 表 (Network Address Translation)
    ○ 主要功能: 网络地址转换
    ○ 包含的链: PREROUTING, POSTROUTING, OUTPUT
    ○ 详细说明:
    ■ 用于修改数据包的源或目标地址
    ■ PREROUTING链用于目标NAT (DNAT),如端口转发
    ■ POSTROUTING链用于源NAT (SNAT),如共享互联网连接
    ■ 可以实现内网IP到公网IP的映射,使内网设备能访问互联网
    ■ 也可以设置端口转发,将外部请求转发到内网特定设备
  3. Mangle 表
    ○ 主要功能: 数据包修改
    ○ 包含的链: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING
    ○ 详细说明:
    ■ 用于修改数据包的服务类型、TTL等特殊字段
    ■ 可以用于实现高级路由和流量控制功能
    ■ 例如,可以标记特定类型的流量以进行QoS (服务质量)控制
    ■ 也可以用于修改数据包的TOS (服务类型)字段以影响路由决策
    五链 (Chains)
  4. INPUT 链
    ○ 处理目标为本机的数据包
    ○ 存在于: Filter表, Mangle表
    ○ 详细说明:
    ■ 控制所有发往本地系统的数据包
    ■ 常用于设置防火墙规则,如允许或阻止特定端口的访问
    ■ 例如,可以设置规则允许SSH连接,但阻止其他未授权的访问
  5. OUTPUT 链
    ○ 处理本机发出的数据包
    ○ 存在于: Filter表, NAT表, Mangle表
    ○ 详细说明:
    ■ 控制所有从本地系统发出的数据包
    ■ 可以用于限制系统对外的连接
    ■ 例如,可以阻止系统访问特定的外部网站或服务
  6. FORWARD 链
    ○ 处理经过本机转发的数据包
    ○ 存在于: Filter表, Mangle表
    ○ 详细说明:
    ■ 控制所有通过系统转发的数据包
    ■ 在路由器功能中非常重要,用于控制不同网络间的流量
    ■ 可以设置规则允许或阻止特定网络间的通信
    ■ 例如,可以允许内网访问外网,但阻止外网直接访问内网
  7. PREROUTING 链
    ○ 处理刚到达本机,还未进行路由决策的数据包
    ○ 存在于: NAT表, Mangle表
    ○ 详细说明:
    ■ 在进行路由决策之前处理数据包
    ■ 主要用于DNAT (目标地址转换)
    ■ 可以用于实现端口转发,将外部请求重定向到内网服务器
    ■ 也可以用于修改数据包的TOS等字段,影响后续的路由决策
  8. POSTROUTING 链
    ○ 处理即将离开本机的数据包
    ○ 存在于: NAT表, Mangle表
    ○ 详细说明:
    ■ 在路由决策之后,数据包离开系统之前处理
    ■ 主要用于SNAT (源地址转换)
    ■ 常用于实现网络地址伪装(Masquerade),使多个内网设备共享一个公网IP
    ■ 也可以用于最后修改数据包的某些字段
    这些表和链共同构成了OpenWrt中强大的网络流量控制和管理系统。通过在不同的表和链中设置规则,可以实现复杂的网络策略,如防火墙保护、网络地址转换、流量控制、负载均衡等功能。理解这个结构对于配置OpenWrt的网络功能至关重要。
源代码分析
关注
专栏目录
iptables的四表五链与NAT工作原理
tinychen
02-25 2456
本文主要介绍了iptables的基本工作原理和四表五链等基本概念以及NAT的工作原理。 1、iptables简介 我们先来看一下netfilter官网对iptables的描述: iptables is the userspace command line program used to configure the Linux 2.4.x and later packet filtering ruleset. It is targeted towards system administrators. Si
通过openwrt源码配置编译mosquitto,实现在OpenWRT的MQTT客户端协议 (一)
liule5211314的博客
01-27 2656
引言 为了在OpenWRT系统使用MQTT协议,在此选用了Mosquitto作为Client(客户端),当然也可以选择其他的客户端如Paho,选择Mosquitto的原因是在OpenWRT系统自身带有libmosquitto客户端库。为了在OpenWRT系统实现Mosquitto客户端,首先必须要交叉编译libmosquitto,有两种方式可以实现交易编译,一是通过make menucofig...
iptables 四表五链
qq_50119948的博客
11-04 3756
一、什么是iptables iptables是Linux的防火墙管理工具而已,真正实现防火墙功能的是Netfilter,我们配置了iptables规则后Netfilter通过这些规则来进行防火墙过滤等操作 Netfilter模块: 它是主要的工作模块,位于内核,在网络层的五个位置(也就是防火墙四表五链的五链)注册了一些钩子函数,用来抓取数据包;把数据包的信息拿出来匹配各个各个链位置在对应表的规则:匹配之后,进行相应的处理ACCEPT、DROP等等。 下面这张图很明了的说明了Netfilter和ipta
linux安全 ---iptables四表五链
Jiawen的博客
11-25 542
四表: (1)filter (2)nat (3)mangle (4)raw 五链:都属于内核功能 (1)INPUT (2)OUTPUT (3)FORWARD (4)POSROUTING (5)PREROUTING filter表:iptables_filter模块 默认使用的表,当我们没有使用-t指定表名的时候,那么添加的规则就会进入filter表,主要用于过滤经过主机的包,包括INPUT...
OpenWrt搭建PPPOE Server
热门推荐
Amosstan的博客
07-06 3万+
本文选择的路由器为小米R1C(官网型号:xiaomi_miwifi-mini),以OpenWrt为基础平台,使用搭建双栈环境。将R1C刷入Breed方法自行百度。下载R1C OpenWrt固件本文以版本为例,下载地址链接:openwrt-21.02.1-ramips-mt7620-xiaomi_miwifi-mini-squashfs-sysupgrade.bin固件刷入将下载好的固件通过刷入路由器,刷写完成后,确保路由器能够连接外网。SSH登录通过SSH软件(比如MobaXterm或者SecureCRT)
Openwrt 目录结构介绍
03-20
3. **`include`**:此目录包含了多个 `.mk` 文件,它们定义了 OpenWrt 构建过程的各种规则和依赖关系。这些文件作为 Makefile 的一部分被包含进来,类似于库文件。 4. **`package`**:存放了适用于 OpenWrt 系统...
路由器刷OpenWrt打造全能服务器(五)SVN服务.doc
06-29
### 路由器刷OpenWrt打造全能服务器(五)SVN服务 #### 一、概述 在本文档,我们将详细介绍如何利用Netgear WNDR3700v2路由器并安装OpenWrt固件来搭建一个简易的Subversion (SVN)服务器。SVN是一种广泛使用的版本...
Openwrt 网络设置 指南
07-09
OpenWrt网络配置主要通过`/etc/config/network`文件实现。该文件用于管理交换芯片VLAN、网络接口及路由配置。对于网络管理员来说,熟悉并掌握该文件的编辑至关重要。 #### 二、配置文件编辑与应用 配置文件在...
4.网络编程
weixin_45476535的博客
09-14 475
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
Java-网络
2301_81543552的博客
09-14 687
Java网络编程主要涉及使用Socket类进行网络通信,以及理解各种网络协议。以下是一些关键概念和示例代码,帮助您入门。
使用堡垒机登录ftp服务报网络不可达错误
ajax_beijing_java的博客
09-14 195
解决方法:由于不想安装额外的服务在服务器上,于是想到使用sftp服务代替ftp服务,发现是可以使用的。22端口默认就是启动的,在堡垒机上加了sftp服务,再次连接服务器并使用filezila传输文件 ,文件可以正常传输。至此,问题得到解决。场景:开发同事想使用ftp传输服务,连接服务器时报网络不可达错误。排查发现,如果想使用ftp服务,需要在服务器上部署ftp服务,21端口才会存在,才可以访问该服务。
WireShark分析localhost包
ngczx的博客
09-11 701
WireShark分析localhost包
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-11 950
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
【计算机网络 - 基础问题】每日 3 题(七)
最新发布
Newin2020的博客
09-16 890
✍个人博客:Pandaconda-CSDN博客📣专栏地址:http://t.csdnimg.cn/fYaBd📚专栏简介:在这个专栏,我将会分享 C++ 面试常见的面试题给大家~📝推荐参考地址:https://www.xiaolincoding.com/(这个大佬的专栏非常有用!
iptables实现内外网ip转换
m0_67475830的博客
09-13 488
准备三台虚拟机。
哪些行业需要办理网络文化经营许可证?
众森企服
09-13 1005
本规定所称互联网文化产品是指通过互联网生产、传播和流通的文化产品,主要包括: (一)专门为互联网而生产的网络音乐娱乐、网络游戏、网络演出剧(节)目、网络表演、网络艺术品、网络动漫等互联网文化产品;网络表演指以网络表演者个人现场进行的文艺表演活动等为主要内容,通过互联网、移动通讯网、移动互联网等信息网络,实时传播或者以音视频形式上载传播而现场的互联网文化产品,电商类、教育类、医疗类、培训类、金融类、旅游类、美食类、体育类、聊天类等直播不属于网络表演。1️⃣音乐娱乐产品(音乐网站、手机音乐网站、APP音乐)
TCP与HTTP的关系
liiiiiiiiii123的博客
09-13 422
确保网页、图片、文件等资源能够准确无误地从服务器传输到客户端。应用层的协议通常需要借助传输层的协议来实现网络通信从而访问网页等资源。流量控制可以确保发送方不会发送过多的数据导致接收方无法处理;这是我面试遇到的问题,整理下来了,希望对大家有帮助!提供了可靠连接,当我们在请求网页的时候,需要先通过。拥塞控制则可以避免网络拥塞,保证数据的稳定传输。TCP 具有流量控制和拥塞控制机制,是传输控制协议,他在传输层。是超文本传输协议,在应用层。三次握手建立连接,这样就能。
网络分析仪仪器校准要怎么进行检测?容易出现哪些误差?
2401_83476848的博客
09-12 396
误差修正是对已知校准标准的测量,这些测量值存储在分析仪的存储器之,数据用于计算误差模型。系统误差是由矢量网络分析仪和测试设置之的缺陷引起的,是重复性误差,并假设它不随时间变化。校准件的使用可以达到减少误差的目的。2.开关重复性误差:分析仪用于切换源衰减器设置的机械式RF开关,有时当机械式RF开关被启动时,触点的闭合方式与上次启动时不同。通过仪器校准措施增强,消除反射测量之的三个系统误差:指向性、源匹配、频率响应。:是由于仪器或测试系统仪器校准之后性能发生变化引起的,主要是温度变化引起的。
openwrt插件对照表
03-17
OpenWrt是一个开源的嵌入式操作系统,用于由器和其他网络设备。它提供了丰富的插件和扩展功能,以满足用户的不同需求。以下是一些常见的OpenWrt插件及其功能: 1. LuCI(Luci-xxx):LuCI是OpenWrt的Web管理界面,提供了图形化的配置界面,方便用户进行路由器的配置和管理。 2. Shadowsocks(Luci-app-shadowsocks):Shadowsocks是一个安全的代理工具,******连接。 4. QoS(Luci-app-qos):QoS(Quality of Service)是一种网络流量控制技术,可以根据不同应用程序或服务的优先级来分配带宽,以提高网络性能和用户体验。 5. AdGuard Home(Luci-app-adguardhome):AdGuard Home是一个网络广告过滤器和隐私保护工具,可以阻止广告、跟踪器和恶意软件。 6. DDNS(Luci-app-ddns):DDNS(Dynamic DNS)是一种动态域名解析服务,可以将动态IP地址映射到一个固定的域名,方便用户通过域名访问路由器或网络设备。 7. NAS(Luci-app-samba、Luci-app-minidlna):OpenWrt可以将路由器配置为NAS(Network Attached Storage),通过Samba或DLNA协议共享文件和媒体资源。 8. 网络加速(Luci-app-turboacc、Luci-app-sfe):这些插件可以提高网络传输速度和响应时间,优化网络性能。 9. 安全防护(Luci-app-firewall、Luci-app-https-dns-proxy):OpenWrt提供了防火墙和HTTPS DNS代理等功能,可以增强网络安全性和隐私保护。 10. 网络监控(Luci-app-nlbwmon、Luci-app-statistics):这些插件可以监控网络流量、带宽使用情况和设备连接状态,帮助用户了解和管理网络资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值