iptables四个表与五个链间的处理关系

最新推荐文章于 2024-03-07 15:44:29 发布
最新推荐文章于 2024-03-07 15:44:29 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: 编程

netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。

虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件 netfilter 和 iptables 组成。

netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。

iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。

iptables包含4个表,5个链。其中表是按照对数据包的操作区分的,链是按照不同的Hook点来区分的,表和链实际上是netfilter的两个维度。

4个表:filter,nat,mangle,raw,默认表是filter(没有指定表的时候就是filter表)。表的处理优先级:raw>mangle>nat>filter。

filter:一般的过滤功能

nat:用于nat功能(端口映射,地址映射等)

mangle:用于对特定数据包的修改

raw:有限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能

5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。

PREROUTING:数据包进入路由表之前

INPUT:通过路由表后目的地为本机

FORWARDING:通过路由表后,目的地不为本机

OUTPUT:由本机产生,向外转发

POSTROUTIONG:发送到网卡接口之前。如下图:

 

Linux防火墙iptables的三表五链的关系

iptables中表和链的对应关系如下:

 

iptables规则

规则--顾名思义就是规矩和原则,和现实生活中的事情是一样的,国有国法,家有家规,所以要遵纪守法的嘛。当然在防火墙上的规则,在内核看来,规则就是决定如何处理一个包的语句。如果一个包符合所有的条件,我们就用相应的处理动作来处理。书写规则的语法格式为:

iptables [-t table] command  chains [creteria]  -j  action

-t table就是表名,filter/nat/mangle三个表中的一个,默认是filter表

command告诉程序如何做,比如:插入一个规则,还是删除等

chains 链,有五个,PREROUTING  POSTROUTING INPUT OUTPUT FORWARD

action 处理动作,有ACCEPT  DENY DROP REJECT  SNAT  DNAT

理一下思路


 

下面一点点的说

一、Tables

选项-t用来指定用哪个表,它可以是下面的任何一个,默认的是filter表

 

 

本篇文章来源于 Linux公社网站(www.linuxidc.com)  原文链接:http://www.linuxidc.com/Linux/2012-08/67505.htm

本篇文章来源于 Linux公社网站(www.linuxidc.com)  原文链接:http://www.linuxidc.com/Linux/2012-08/67952.htm

davidstack
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables防火墙应用指南
05-31
iptables默认提供四个表:filter、nat、mangle 和 raw。其中,raw表主要用于绕过某些连接跟踪机制,通常较少使用。其余三个表的作用如下: - **filter表**:主要用于实现基本的包过滤功能,包括对数据包进行接受...
Linux防火墙——iptables(四表五链)
zcien的博客
02-12 2151
Linux防火墙iptables(四表五链)详解
iptables防火墙(四表五链)
m0_74848517的博客
02-05 1287
mangle表 =>PREROUTING链 POSTROUTING链 INPUT链 OUTPUT链 FORWARD链。转发:PREROUTING===>FORWARD===>POSTROUTING。IP范围匹配:-m iprange --src-range IP范围。多端口匹配:-m multiport --sports 源端口列表。MAC地址匹配:-m mac --mac-source MAC地址。状态匹配:-m state --state 连接状态。
Iptables四表五链
Jack_chao_的博客
07-20 1337
iptables只是防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。iptables具体是如何去过滤各种规则的呢?请看下面的四表五链正常的访问流程图。
iptables四表五链
kakaka666的博客
06-04 1272
对数据包做路由选择之后,将应用此链中的规则,然后将进行路由选择,确认数据包的目标地址是否是防火墙本机,结合内核传送给。当数据包到达防火墙时,如果对应的链内有规则存在,将按照顺序依次从。:出流量,其实就是防火墙本机向外的地址发送数据包,首先被。链做处理,确认通过之后,便可以交给服务器端来进行响应。来进行处理是否需要通过或直接丢弃,最后将交给。:如果是外边的数据包到达防火墙后,要先通过。:如果是外边的数据包到达防火墙后,要先通过。,其表内包括五个链:prerouting。做相关处理,随后进行路由选择,
防火墙iptables五链四表
weixin_46528626的博客
04-23 6592
什么是防火墙? 在计算机中,防火墙是基于安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点; **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当然硬件防火墙也
Iptables速查手册
11-29
#### 五、Iptables与OSI模型的关系 - **OSI层3 (网络层)**: - Iptables主要工作在网络层,可以通过IP地址和协议类型来过滤数据包。 - **OSI层4 (传输层)**: - 可以根据传输层协议(如TCP/UDP)的端口号来过滤...
构筑Linux防火墙之IPtables的概念与用法
05-14
<br>除了本地产生的包由OUTPUT链处理外,所有连接跟踪都是在PREROUTING链里进行处理的,意思就是说iptables会在PREROUTING链里重新计算所有的状态。如果我们发送一个流的初始化包,状态就会在OUTPUT链里被设置为...
兄弟连Linux基础知识与系统管理课件
08-03
课件将讲解如何设置用户和组,理解sudo和su命令,以及使用iptables或firewalld配置防火墙规则。 十、系统监控与性能优化 了解如何监控系统资源(CPU、内存、磁盘I/O)对保持系统健康运行至关重要。课件将教授使用...
网管面试考题与答案
10-09
14. **ISO/OSI七层模型与TCP/IP四层协议**:ISO/OSI模型包括应用层、表示层、会话层、传输层、网络层、数据链路层和物理层,TCP/IP协议族包括应用层、传输层、网络层和网络接口层。它们之间的对应关系是:应用层对...
iptables 企业级防火墙配置(四表五链)
02-19
# iptables 的主要作用是:    通过四表五链过滤数据包起到防御功能,同时也具有路由功能,即沟通不同网段和转发数据包即共享上网等等。iptables 不仅功能十分的强大,且使用非常的灵活,可以对流入和流出的数据包进行很精细的控制。同时它的数据包转发的效率也非常高,据悉在一台普通硬件设备上配置 iptables转发功能,在同时提供几百人共享上网环境下,好不逊色企业级专业路由器的转发效率。    所以 iptables(CentOS 7.x 之后叫做 firewalld)是一款与生俱来的、功能强大同时适应性强的 Linux 操作系统自带的一款优秀软件。    故理解iptables工作机理,学会配置iptables参数,对应 Linux 架构和运维人员就是一件一劳永逸重要工作。    本视频详细的论述了iptables 企业级防火墙从原理到配置,最后落实到实战部署的详尽过程。
iptables 4表5链 个人心得
weixin_43472459的博客
07-04 837
iptables是Linux防火墙中最常用的包过滤工具。要想理解它的运行机制就必须了解iptables的4表5链。4表名称及功能介绍filter:过滤数据包nat:用于网络地址转换(包含DNAT、SNAT、MASQUERADE、REDIRECT)mangle:用于对特定数据包的修改(几乎不用)raw:决定数据包是否被状态跟踪机制处理,降低开销,从而提高性能(几乎不用)5链名称及数据包匹配位置介绍PREROUTING:对数据包作路由选择前应用此链中的规则。
iptablesiptables表、链、规则 、匹配模式、扩展模块、连接追踪模块(一)
Nightwish5的博客
08-15 1418
【执行完后 ssh会掉线】【注意!time模块,可以根据时间段区匹配报文,如果报文到达的时间在指定的时间范围内,则符合匹配条件。●string模块,可以指定要匹配的字符串,如果报文中包含对应的字符串,则符合匹配条件。情景1示例:应用返回的报文中包含字符"video",我们就丢弃当前报文,其余正常通过。限制早上:8:00 ~ 12:00 (00:00-04:00)限制下午:14:00 ~ 18:00 (06:00-10:00)–timestart hh:mm[:ss]:开始时间。
Iptables防火墙的四表五链概念以及使用技巧
江晓龙的博客
07-08 3197
在防火墙中,用户想要成功进入内网环境,就需要发送请求报文,请求报文要和防火墙设置的各种规则进行匹配和判断,最后执行相应的动作(放行或者拒绝),一个防火墙中通常针对不同的来源设置很多种策略,多个策略形成一个链,其实也可以理解成是分组的概念,在Iptables防火墙中针对不同的链路共分为五种不同的链。如下图所示,当数据报文进入链之后,首先匹配第一条规则,如果第一条规则通过则访问,如果不匹配,则接着向下匹配,如果链中的所有规则都不匹配,那么就按照链的默认规则处理数据报文的动作。 Iptables有五种不同的链,分
Linux防火墙之“四链五表”
cjzcc1996的博客
07-16 1863
防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 能够指定火墙策略的两个工具包:iptables和firewalld Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙或称作网络层防火墙(iptables) Firewalld:只用于管理Linux防火墙的命令程序,属于“用...
iptables四表五链及规则组成
wfs
04-05 5796
iptables组成:四张表 + 五条链(Hook point) + 规则 iptables和netfilter的关系: Netfilter: Netfilter是linux操作系统核心层内部的一个数据包处理模块 Hook point:数据包在Netfilter中的挂载点(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING ) iptables只是Linux...
五链四表详解
最新发布
apple_65956797的博客
03-07 1985
链就是位置:共有五个 进路由(PREROUTING)、进系统(INPUT) 、转发(FORWARD)、出系统(OUTPUT)、出路由(POSTROUTING);表就是存储的规则;数据包到了该链处,会去对应表中查询设置的规则,然后决定是否放行、丢弃、转发还是修改等等操作。
Iptables 表和链之间关系【未完成】
weixin_33859665的博客
05-20 192
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值