iptable转发规则与表作用

最新推荐文章于 2024-09-13 21:59:12 发布
最新推荐文章于 2024-09-13 21:59:12 发布
阅读量4.6k 收藏 3
点赞数
文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011409801/article/details/80143170
版权

转发规则图解:

 

                                           PREROUTING(raw conntrack mangle nat(DNAT)) 注意这个nat是在路由决策之前      

                                                                                                            |

                                             +---------------------------------------路由决策-------------------------------+

                                              |                                                                                                                     |

                  INPUT(mangle filter)                                                                                        FORWARD(managle filter)

                                              |                                                                                                                     |

                                      本地进程                                                                                                                |

                                              |                                                                                                                     |

                                       路由决策                                                                                                               |

                                              |                                                                                                                     |

                OUTPUT(raw conntrack  mangle nat(DNAT) filter)                                                                     |

                                              |                                                                                                                     |

                                              +-------------------------------------------------------------------------------+

                                                                                                          |

                                                                  POSTROUTING(mangle nat(SNAT)) 注意这个nat是在路由决策之后

                                                                                                         |

                                                                                                  network

 

注意:

对于nat表,属于一个流的包只经过这个表一次,而不是每个包都一次次的被NAT,其余自动完成而不再经过NAT表。

所以不在这个表中做任何过滤。

 

 

iptables转发场景过程:

 

 

目的为本机

1.从网络进入网卡

2.在路由之前做PREROUTEING(raw、conntrack、mangle再nat(DNAT))

即:

        raw

        conntrack 表示连接跟踪模块,通过内核中连接跟踪表(即哈希表),记录网络连接的状态,是iptables状态过滤(-m state)和NAT的实现基础

        mangle PREROUTING(这个链用来mangle数据包,比如改变TOS等)

        nat PREROUTING(这个链主要用来做DNAT。不要在这个链做过滤操作。某些情况下包会溜出去。)

3.路由判断(判断是发往本地还是要转发的)

4.判断是本地(注意和被转发的包做对比)

5.做INPUT(mangle再filter)

即:

        mangle INPUT(判断路由之后,被送往本地程序之前,mangle数据包)

        fileter INPUT(所有以本地为目的的包都要经过这个链,不管它们从哪里来,对这些包的过滤条件都设在这)

6.到达本地程序

 

本机发往internet(本地为源)

1.本地程序发出数据

2.路由判断,使用源地址 外出接口 还有其他信息

3.之后OUTPUT(raw、conntrack、mangle、nat(DNAT)、filter)

即:

        raw

        conntrack 表示连接跟踪模块,通过内核中连接跟踪表(即哈希表),记录网络连接的状态,是iptables状态过滤(-m state)和NAT的实现基础

        mangle OUTPUT(建议不要在这儿做过滤,可能有副作用)

        nat OUTPUT(对主机发出的包做DNAT)

        filter OUTPUT(对本地发出的包过滤)

4.之后做POSTROUTING(mangle、nat(SNAT))

即:

        mangle POSTROUTING(在包DNAT之后,离开本地之前对包mangle)

        nat POSTROUTING(做SNAT,不要在这里过滤,因为有副作用,而且有些包会溜过去,即便做了DROP策略)

5.离开网卡到因特网

 

被转发的包

1.网络进入网卡

2.做PREROUTING(mangle、nat(DNAT))

即:

        mangle PREROUTING(mangle数据包,比如改变TOS)

        nat PREROUTING(主要做DNAT,不要在这里做过滤操作,某些情况下包会溜过去,稍后会做SNAT)

3.路由判断 比如是发往本地还是要转发的

4.判断不是本地

5.做FORWARD(mangle、filter)

即:

        mangle FORWARD(这是非常特殊的情况下才会用到。在这里,包被mangle,这次mangle在最初的路由判断之后,在最后一次更改包的目的之前)

        filter FORWARD(只有需要转发的包才会走到这里,并且针对这些包的所有过滤在这进行,注意所有要转发的包都要经过这里,不管内网到外网还是外网到内网)

6.做POSTROUTING(mangle、nat(SNAT))

即:

        mangle POSTROUTING(这个链也是针对一些特殊类型的包,是在更改所有目的地址的操作完成之后做的,这时包还在本地上)

        nat POSTROUTING(这个链用来做SNAT的,包括Masquerade,不要在这个链做过滤,即使某些包不满足条件也会通过)

 

 

相关表作用:

 

mangle: 所有的链

filter: INPUT OUTPUT FORWARD

nat: PREROUTING OUTPUT POSTROUTING(SNAT、Masquerade)

 

mangle:

        TOS 用来设置或改变数据包的服务类型域 常被用来设置网络上数据包被如何路由等策略

        TTL 可以改变生存时间 可以欺骗ISP 如不给共享 可以设置这个值

        MARK 给包设置特殊的标记

        并没有真正改动数据包,只是在内核空间为包设置了一个标记

        防火墙内的其他规则或程序可以使用这种标记对包进行过滤或高级路由

nat:

        DNAT 改变目的地址 能使包重路由到某台主机

        SNAT 改变包的源地址 可以隐藏本地网络或DMZ(隔离区) 可以将内网地址转化为外网地址

        MARSQUERED 对每个匹配的包MASQUERADE都要查找可用的IP地址 而不是像SNAT用的IP是配置好的 这个好处是可以使用PPP PPPOE SLIP等拨号得到的地址 这些地址是由ISP的DHCP随机分配的

filter:

        DROP

        ACCEPT

        LOG

        REJECT

minimonster
关注
IPTables 表、链、规则基础
Arlingtonroad的博客
11-29 2572
iptables 防火墙用于管理包过滤和 NAT 规则IPTables 随所有 Linux 发行版一起提供。了解如何设置和配置 iptables 将帮助您有效地管理 Linux 防火墙。 iptables 工具用于管理 Linux 防火墙规则。乍一看,iptables 可能看起来很复杂(甚至令人困惑)。但是,一旦您了解了 iptables 的工作原理及其结构的基础知识,阅读和编​​写 iptables 防火墙规则就会很容易。 本文是正在进行的 iptables 教程系列的一部分。这是该系列的第一篇文章
通过iptables的NAT转发规则实战
change_can的博客
01-14 9124
通过iptables的NAT转发规则实现在外网可以直接访问局域网内的服务器进行远程连接! 服务器A:外网:xxx.xxx.xxx.xxx(公网IP) 内网:172.16.46.98 服务器B:内网:172.16.37.124:3389 服务器C:内网:172.16.37.10:3389 任务:实现xxx.xxx.xxx.xxx(公网IP):10022映射到172.16.37.124:3389;...
iptables实现网络数据转发和网络数据共享功能
Biao
01-31 1万+
iptables在维基百科上的解释是:ptables是一个配置Linux内核防火墙的命令行工具,是netfilter项目的一部分,可以检测、修改、转发、重定向和丢弃IPv4数据包。ip6tables用于ipv6。我这里介绍的是在linux平台实现网络数据的转发和网络数据共享的功能。 整体结构和测试环境如下图所示。 电脑/终端: win7 系统,一个网卡eth0,通过.........
iptable网络转发
08-30
2小时玩转iptable
Linux 防火墙:iptables (二)
shyuu的博客
09-13 1717
SNAT(源网络地址转换)通常用于局域网内的主机共享单个公网 IP 地址接入 Internet,因为私有 IP 地址不能在 Internet 中正常路由。抓取指定网络接口、协议类型、IP 范围以及端口号的基础上对数据进行过滤,并将结果保存到指定文件中用于后续的分析。DNAT 的工作原理是将数据包的目的地址从公网地址转换为局域网内的服务器地址。SNAT 的工作原理是将数据包的源地址从局域网地址转换为公网 IP 地址。进来的要访问 Web 服务的数据包的目的地址转换为。将 iptables 规则文件保存在。
iptables转发规则
weixin_33719619的博客
11-23 578
在http://chenx1242.blog.51cto.com/10430133/1874225这个文章里,我们配置了mq而且在后面的web界面里验证了已经有消息队列生成。但是细心的朋友应该会发现一个BUG,实验机器是2核4G无外网,但是是怎么登陆web界面的呢?因为消息队列是一个很重要的一环啊,它就好比食道一样,食物通过食道才能到达胃进行吸收,同理activemq也要好好...
iptables的NAT配置(5)
weixin_33937499的博客
11-26 373
nat表需要的三个链:   1.PREROUTING:可以在这里定义进行目的NAT的规则,因为路由器进行路由时只检查数据包的目的ip地址,所以为了使数据包得以正确路由,我们必须在路由之前就进行目的NAT;  2.POSTROUTING:可以在这里定义进行源NAT的规则,系统在决定了数据包的路由以后在执行该链中的规则。  3.OUTPUT:定义对本地产生的数据包的目的NAT规则。 需要用...
iptables转发技术
abg49988的博客
11-24 251
NAT 一. 什么是 NAT NAT(Network Address Translation)译为网络地址转换。通常路由器在转发我们的数据包时,仅仅会将源MAC地址换成自己的MAC地址,但是NAT技术可以修改数据包的源地址、目的地址以及源端口、目的端口等信息。 二. NAT的作用 NAT技术最常见的应用就是通过修改源IP地址实现内网多主机使用一个公网地址接入互联网。NAT技术通常用于端口...
iptable规则的设定与查看
热门推荐
qq_36462472的博客
05-16 4万+
Firewall:防火墙,隔离工具;工作于主机或网络的边缘,对于进出本地或网络的报文根据实现定义好的检查规则做匹配检查,对于能够被规则所匹配到的报文作出相应处理的组件; iptables/netfilter 功能 filter:过滤,防火墙; nat:网络地址转换; mangle:拆解报文,作出修改,封装报文; raw:关闭nat表上启用的连接追踪机制; 链 PREROUT...
列出IPtable全部转发规则
07-15
上述命令中的 `-t nat` 参数指定了表类型为 nat,这是用于转发规则的表。`-L` 参数用于列出规则,`-n` 参数用于显示 IP 地址和端口号而不进行反向解析。 你还可以使用其他选项来过滤和查看特定的转发规则,例如: ...
如何列出IPtable全部转发规则
07-15
上述命令中的t nat` 参数指定了表类型 nat,这是用于转发规则的表。`-L` 参数用于列出规则,`-n` 参数用于显示 IP 地址和端口号而不进行反向解析。 你还可以使用其他选项来过滤和查看特定的转发规则,例如: - `-A...
iptables转发规则
shuzui1985的专栏
05-21 1万+
http://www.cnblogs.com/davidwang456/p/3540837.html http://lesca.me/archives/iptables-examples.html 对linux而言tcp/ip协议栈是在内核当中,意味着报文的处理是在内核中处理的,也就是说防火墙必须在工作在内核中,防火墙必须在内核中完成tcp/ip报文所流进的位置,用规则去检
IPTABLE 规则
10-16
很全的IPTABLE规则,封杀BT QQ,端口间的NAT,好东东值得分享
【Linux中防火墙Iptables】【指令详解】【中文】
依然的专栏
05-24 2063
iptables 指令 语法:iptables [-t table] command [match] [-j target/jump] -t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,当未指定规则表时,则一律视为是 filter。个规则表的功能如下:nat 此规则表拥有 Prerouting 和 postrouting 两个规则链,主要功能为进
iptables的nat规则骚操作
weixin_30797027的博客
09-14 515
水一枪 我对防火墙这块的认知是比较低的, 之前一直没怎么去用 最多的要么就是 iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ,这还是以前刚出来接触linux的时候redhat6跑的,后来改革了,好吧,centos7 fir...
iptable知识与iptable转发
早先生
12-21 2951
iptables包的转发过程:iptabels被认为是Linux中实现包过滤功能的第四代应用程序。iptables包含在Linux2.4以后的内核中,详细地来讲iptables包在转发时是怎样被送出呢?本文介绍的是iptables的基础知识-iptables包的转发过程。 iptables包的转发过程:包在IPTABLES中如何走? 当一个包进入或者送出或者被转发的时候,是依据什么呢?
iptables端口映射或端口转发
******* ▄︻┻┳═一 *******
04-14 8608
在Linux的下面部署了tomcat,为了安全我们使用非root用户进行启动,但是在域名绑定时无法直接访问80端口号。众所周知,在unix下,非root用户不能监听1024以上的端口号,一般情况下,服务器不直接开放80端口,因为这样很容易遭到黑客的攻击。所以这里需要使用linux的端口转发机制,把到80端口的服务请求都转到8080端口或者其他端口上。在root账户下面运行一下命令: ip
iptable规则,所有经过br-lan接口的数据全部转发到192.168.0.1:80
最新发布
10-29
1. `iptables -t mangle` 使用的是mangle表,用来修改数据包而不是丢弃。 2. `-A POSTROUTING` 表示追加到POSTROUTING链,这是数据离开内部网络前的最后处理阶段。 3. `-o br-lan` 指定出站接口为br-lan。 4. `MARK ...
iptables转发基础
Android系统攻城狮
06-18 1862
NAT 一. 什么是 NAT NAT(Network Address Translation)译为网络地址转换。通常路由器在转发我们的数据包时,仅仅会将源MAC地址换成自己的MAC地址,但是NAT技术可以修改数据包的源地址、目的地址以及源端口、目的端口等信息。 二. NAT的作用 NAT技术最常见的应用就是通过修改源IP地址实现内网多主机使用一个公网地址接入互联网。NAT技术通常用于端口和流量的转发、重定向,实现如端口映射、跨网络访问、流量代理等功能。 二. iptables实现NAT转发 1.
iptables端口转发配置实现
C3399的博客
06-11 1万+
一、iptables简介 二、iptables端口转发实现 三、iptables端口转发实现过程的坑
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值