iptable转发规则与表作用

最新推荐文章于 2022-06-19 09:38:48 发布
最新推荐文章于 2022-06-19 09:38:48 发布
阅读量4.6k 收藏 3
点赞数
文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011409801/article/details/80143170
版权

转发规则图解:

 

                                           PREROUTING(raw conntrack mangle nat(DNAT)) 注意这个nat是在路由决策之前      

                                                                                                            |

                                             +---------------------------------------路由决策-------------------------------+

                                              |                                                                                                                     |

                  INPUT(mangle filter)                                                                                        FORWARD(managle filter)

                                              |                                                                                                                     |

                                      本地进程                                                                                                                |

                                              |                                                                                                                     |

                                       路由决策                                                                                                               |

                                              |                                                                                                                     |

                OUTPUT(raw conntrack  mangle nat(DNAT) filter)                                                                     |

                                              |                                                                                                                     |

                                              +-------------------------------------------------------------------------------+

                                                                                                          |

                                                                  POSTROUTING(mangle nat(SNAT)) 注意这个nat是在路由决策之后

                                                                                                         |

                                                                                                  network

 

注意:

对于nat表,属于一个流的包只经过这个表一次,而不是每个包都一次次的被NAT,其余自动完成而不再经过NAT表。

所以不在这个表中做任何过滤。

 

 

iptables转发场景过程:

 

 

目的为本机

1.从网络进入网卡

2.在路由之前做PREROUTEING(raw、conntrack、mangle再nat(DNAT))

即:

        raw

        conntrack 表示连接跟踪模块,通过内核中连接跟踪表(即哈希表),记录网络连接的状态,是iptables状态过滤(-m state)和NAT的实现基础

        mangle PREROUTING(这个链用来mangle数据包,比如改变TOS等)

        nat PREROUTING(这个链主要用来做DNAT。不要在这个链做过滤操作。某些情况下包会溜出去。)

3.路由判断(判断是发往本地还是要转发的)

4.判断是本地(注意和被转发的包做对比)

5.做INPUT(mangle再filter)

即:

        mangle INPUT(判断路由之后,被送往本地程序之前,mangle数据包)

        fileter INPUT(所有以本地为目的的包都要经过这个链,不管它们从哪里来,对这些包的过滤条件都设在这)

6.到达本地程序

 

本机发往internet(本地为源)

1.本地程序发出数据

2.路由判断,使用源地址 外出接口 还有其他信息

3.之后OUTPUT(raw、conntrack、mangle、nat(DNAT)、filter)

即:

        raw

        conntrack 表示连接跟踪模块,通过内核中连接跟踪表(即哈希表),记录网络连接的状态,是iptables状态过滤(-m state)和NAT的实现基础

        mangle OUTPUT(建议不要在这儿做过滤,可能有副作用)

        nat OUTPUT(对主机发出的包做DNAT)

        filter OUTPUT(对本地发出的包过滤)

4.之后做POSTROUTING(mangle、nat(SNAT))

即:

        mangle POSTROUTING(在包DNAT之后,离开本地之前对包mangle)

        nat POSTROUTING(做SNAT,不要在这里过滤,因为有副作用,而且有些包会溜过去,即便做了DROP策略)

5.离开网卡到因特网

 

被转发的包

1.网络进入网卡

2.做PREROUTING(mangle、nat(DNAT))

即:

        mangle PREROUTING(mangle数据包,比如改变TOS)

        nat PREROUTING(主要做DNAT,不要在这里做过滤操作,某些情况下包会溜过去,稍后会做SNAT)

3.路由判断 比如是发往本地还是要转发的

4.判断不是本地

5.做FORWARD(mangle、filter)

即:

        mangle FORWARD(这是非常特殊的情况下才会用到。在这里,包被mangle,这次mangle在最初的路由判断之后,在最后一次更改包的目的之前)

        filter FORWARD(只有需要转发的包才会走到这里,并且针对这些包的所有过滤在这进行,注意所有要转发的包都要经过这里,不管内网到外网还是外网到内网)

6.做POSTROUTING(mangle、nat(SNAT))

即:

        mangle POSTROUTING(这个链也是针对一些特殊类型的包,是在更改所有目的地址的操作完成之后做的,这时包还在本地上)

        nat POSTROUTING(这个链用来做SNAT的,包括Masquerade,不要在这个链做过滤,即使某些包不满足条件也会通过)

 

 

相关表作用:

 

mangle: 所有的链

filter: INPUT OUTPUT FORWARD

nat: PREROUTING OUTPUT POSTROUTING(SNAT、Masquerade)

 

mangle:

        TOS 用来设置或改变数据包的服务类型域 常被用来设置网络上数据包被如何路由等策略

        TTL 可以改变生存时间 可以欺骗ISP 如不给共享 可以设置这个值

        MARK 给包设置特殊的标记

        并没有真正改动数据包,只是在内核空间为包设置了一个标记

        防火墙内的其他规则或程序可以使用这种标记对包进行过滤或高级路由

nat:

        DNAT 改变目的地址 能使包重路由到某台主机

        SNAT 改变包的源地址 可以隐藏本地网络或DMZ(隔离区) 可以将内网地址转化为外网地址

        MARSQUERED 对每个匹配的包MASQUERADE都要查找可用的IP地址 而不是像SNAT用的IP是配置好的 这个好处是可以使用PPP PPPOE SLIP等拨号得到的地址 这些地址是由ISP的DHCP随机分配的

filter:

        DROP

        ACCEPT

        LOG

        REJECT

minimonster
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables转发基础
2301_77110605的博客
04-18 808
iptables [-t TABLE] COMMAND CHAIN [num] 匹配条件 -j 处理动作要使用iptables的NAT功能,我们首先需要启用网卡的IP转发功能如果想要永久生效,我们要编辑文件,设置,然后用sysctl -p命令使配置文件生效。我们使用**-t nat**参数指明使用nat表,因为iptables默认使用filter表。nat表同filter表一样有三条缺省的”链”(chains):POSTROUTING:定义进行源地址转换规则,重写数据包的源IP地址。
模拟超时、低带宽测试神器之Iptable
07-05
Iptable规则是保存在 filter 表中的。这些规则可以根据不同的匹配条件来执行不同的动作。例如,可以根据源地址、目标地址、协议、端口、字符串等匹配条件来执行不同的动作。 例如,想要 drop 所有从本机端口 55 ...
iptable网络转发
08-30
2小时玩转iptable
iptables转发规则
weixin_33719619的博客
11-23 552
在http://chenx1242.blog.51cto.com/10430133/1874225这个文章里,我们配置了mq而且在后面的web界面里验证了已经有消息队列生成。但是细心的朋友应该会发现一个BUG,实验机器是2核4G无外网,但是是怎么登陆web界面的呢?因为消息队列是一个很重要的一环啊,它就好比食道一样,食物通过食道才能到达胃进行吸收,同理activemq也要好好...
iptables的NAT配置(5)
weixin_33937499的博客
11-26 339
nat表需要的三个链:   1.PREROUTING:可以在这里定义进行目的NAT的规则,因为路由器进行路由时只检查数据包的目的ip地址,所以为了使数据包得以正确路由,我们必须在路由之前就进行目的NAT;  2.POSTROUTING:可以在这里定义进行源NAT的规则,系统在决定了数据包的路由以后在执行该链中的规则。  3.OUTPUT:定义对本地产生的数据包的目的NAT规则。 需要用...
iptables的nat规则骚操作
weixin_30797027的博客
09-14 496
水一枪 我对防火墙这块的认知是比较低的, 之前一直没怎么去用 最多的要么就是 iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ,这还是以前刚出来接触linux的时候redhat6跑的,后来改革了,好吧,centos7 fir...
通过iptables的NAT转发规则实战
change_can的博客
01-14 9019
通过iptables的NAT转发规则实现在外网可以直接访问局域网内的服务器进行远程连接! 服务器A:外网:xxx.xxx.xxx.xxx(公网IP) 内网:172.16.46.98 服务器B:内网:172.16.37.124:3389 服务器C:内网:172.16.37.10:3389 任务:实现xxx.xxx.xxx.xxx(公网IP):10022映射到172.16.37.124:3389;...
记一次ubuntu利用iptables做端口转发的操作
01-09
同事从海外远程连接国内某云上的一台机器3389端口,发现因为运营商路由原因非常慢,找运营商修改路由又非常麻烦。...主要目的就是通过配置跳板机的防火墙转发规则,使得访问1.1.1.1:21521的流量自动转发到2.2.2
Linux iptables规则原理和基础
01-09
 说到iptables必然提到Netfilter,iptables是应用层的,其实质是一个定义规则的配置工具,而核心的数据包拦截和转发是Netfiler。  Netfilter是Linux操作系统核心层内部的一个数据包处理模块。  iptables和...
Linux下如何对端口流量进行统计
01-20
在不修改源代码的情况下对程序暴露端口流量进行监控统计,可以利用Linux中自带的Iptable添加简单的规则让其起到端口流量统计的作用。但是需要注意的是在服务器重启、Iptable服务重启的时候统计数据会被重置清零。 ...
Linux netfilter/iptables知识点详解
01-09
Netfilter中有三个主要的概念:规则、表、链,等级依次递增。 规则是对特定报文的处理说明,包括匹配字段和action。 链是一组规则的集合。 表是链中相同功能的规则集合。 规则 链 链可以看作网卡和内核协议栈...
iptable规则的设定与查看
热门推荐
qq_36462472的博客
05-16 4万+
Firewall:防火墙,隔离工具;工作于主机或网络的边缘,对于进出本地或网络的报文根据实现定义好的检查规则做匹配检查,对于能够被规则所匹配到的报文作出相应处理的组件; iptables/netfilter 功能 filter:过滤,防火墙; nat:网络地址转换; mangle:拆解报文,作出修改,封装报文; raw:关闭nat表上启用的连接追踪机制; 链 PREROUT...
iptable知识与iptable转发
早先生
12-21 2903
iptables包的转发过程:iptabels被认为是Linux中实现包过滤功能的第四代应用程序。iptables包含在Linux2.4以后的内核中,详细地来讲iptables包在转发时是怎样被送出呢?本文介绍的是iptables的基础知识-iptables包的转发过程。 iptables包的转发过程:包在IPTABLES中如何走? 当一个包进入或者送出或者被转发的时候,是依据什么呢?
iptables端口映射或端口转发
******* ▄︻┻┳═一 *******
04-14 8574
在Linux的下面部署了tomcat,为了安全我们使用非root用户进行启动,但是在域名绑定时无法直接访问80端口号。众所周知,在unix下,非root用户不能监听1024以上的端口号,一般情况下,服务器不直接开放80端口,因为这样很容易遭到黑客的攻击。所以这里需要使用linux的端口转发机制,把到80端口的服务请求都转到8080端口或者其他端口上。在root账户下面运行一下命令: ip
iptables端口转发配置实现
C3399的博客
06-11 1万+
一、iptables简介 二、iptables端口转发实现 三、iptables端口转发实现过程的坑
iptables详解及一些常用规则
tpriwwq的专栏
06-19 5272
iptables功能及配置
MySQL 主从复制原理介绍
TriAngel_的博客
01-06 267
MySQL 主从复制原理介绍 1、MySQL 异步和半同步复制 传统的 MySQL 复制提供了一种简单的主–从复制方法。有一个主,以及一个或多个从。主节点执 行和提交事务,然后将它们(异步地)发送到从节点,以重新执行(在基于语句的复制中)或应用(在 基于行的复制中)。这是一个 shared-nothing 的系统,默认情况下所有 server 成员都有一个完整的 数据副本 还有一个半同步复制,它在协议中添加了一个同步步骤。这意味着主节点在提交时需要等待从节点 确认它已经接收到事务。只有这样,主节点才能继续
一、MySQL主从复制原理
qxdbb的博客
04-09 4481
MySQL主从复制一、MySQL主从复制原理二、搭建MySQL主从复制(1)MySQL主服务器建立时间同步(2)MySQL从服务器进行时间同步(3)关闭防火墙(或开启相应端口)(4)安装MySQL数据库(5)配置MySQL主服务器(6)配置MySQL从服务器(7)验证主从复制效果总结 一、MySQL主从复制原理 MySQL的主从复制和MySQL的读写分离两者有必然的联系,首先要部署主从复制,只有主从复制完成了,才能在此基础上进行数据的读写分离 1)MySQL支持的复制类型 (1)基于语句的复制:在主服务器上
MySQL主从复制原理
想去很远地方
01-12 515
目录 0、为什么要主从复制 1、什么是主从复制 2、MySQL复制原理 3、MySQL主从形式 3.1、一主一从​ 3.2、主主复制 ​3.3、一主多从 3.4、多主一从 3.5、联级复制 0、为什么要主从复制 主:master 从:slave 在业务系统,如果有一条sql语句要锁表,暂时不能读,那么就会影响效率,使用主从复制,主库来写,从库来读,避免了上面情景的麻烦。 数据热备,实现数据的备份更加安全 3、架构的扩展。业务量越来越大,I/O访问频率过高
列出IPtable全部转发规则
最新发布
07-15
要列出 iptables 的全部转发规则,可以使用以下命令: ```shell sudo iptables -t nat -L -n ``` 上述命令中的 `-t nat` 参数指定了表类型为 nat,这是用于转发规则的表。`-L` 参数用于列出规则,`-n` 参数用于显示 IP 地址和端口号而不进行反向解析。 你还可以使用其他选项来过滤和查看特定的转发规则,例如: - `-A`:列出所有转发规则。 - `-S`:以规则的形式显示转发规则。 例如,要列出所有转发规则的详细信息,可以使用以下命令: ```shell sudo iptables -t nat -L -n -v ``` 请注意,在运行以上命令时需要具有管理员权限或适当的权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值