netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。
虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件 netfilter 和 iptables 组成。
netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。
iptables包含4个表,5个链。其中表是按照对数据包的操作区分的,链是按照不同的Hook点来区分的,表和链实际上是netfilter的两个维度。
4个表:filter,nat,mangle,raw,默认表是filter(没有指定表的时候就是filter表)。表的处理优先级:raw>mangle>nat>filter。
filter:一般的过滤功能
nat:用于nat功能(端口映射,地址映射等)
mangle:用于对特定数据包的修改
raw:有限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能
5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。
PREROUTING:数据包进入路由表之前
INPUT:通过路由表后目的地为本机
FORWARDING:通过路由表后,目的地不为本机
OUTPUT:由本机产生,向外转发
POSTROUTIONG:发送到网卡接口之前。如下图:
iptables中表和链的对应关系如下:
iptables规则
规则--顾名思义就是规矩和原则,和现实生活中的事情是一样的,国有国法,家有家规,所以要遵纪守法的嘛。当然在防火墙上的规则,在内核看来,规则就是决定如何处理一个包的语句。如果一个包符合所有的条件,我们就用相应的处理动作来处理。书写规则的语法格式为:
iptables [-t table] command chains [creteria] -j action
-t table就是表名,filter/nat/mangle三个表中的一个,默认是filter表
command告诉程序如何做,比如:插入一个规则,还是删除等
chains 链,有五个,PREROUTING POSTROUTING INPUT OUTPUT FORWARD
action 处理动作,有ACCEPT DENY DROP REJECT SNAT DNAT
理一下思路
下面一点点的说
一、Tables
选项-t用来指定用哪个表,它可以是下面的任何一个,默认的是filter表
本篇文章来源于 Linux公社网站(www.linuxidc.com) 原文链接:http://www.linuxidc.com/Linux/2012-08/67505.htm
本篇文章来源于 Linux公社网站(www.linuxidc.com) 原文链接:http://www.linuxidc.com/Linux/2012-08/67952.htm