Linux防火墙体系只要工作在网咯层,针对于TCP/IP数据包实施过滤个限制,典型的包过滤防火墙(或称为网络层防防火墙)
- net filter 指的是Linux的内核总的实现包头过滤不以程序或文件的形式存在。
- iptables 指的是用户管理Linux防火墙的密令程序,通常位于/sbin/iptables目录下
规则表
- filter 表用来对数据包过滤,根据具体的规则要求决定如何处理一个数据包。表内包含了三个链。即INPUT , FORWARD,OUTPUT
- nat 表:主要用来修改数据包IP地址,端口的信息表内包含了三个链,PREROUTING POSTROUTING OUTPUT
- mangle 表 用来修改数据包的TOS服务 TTL生存周期,或者为数据包设置Mark 标记。表内包含五个链 PREROUTING POSTROUTING INPUT OUTPUT FORWARD .
- raw 表 是来自1.2.9 以后的版本的iptables新增的,只要用来决定是否对数据包进行跟踪 表包含了两个链 OUTPUT PREROUTING
规则链
- INPUT 当收到访问防火墙本机地址数据包(入站)时,应用从链路中的规则。
- OUTPUT 当防火墙本机向外发送数据包(出站)时 应用次链中的规则 。
- FORWARD 当接收到需要通过防火墙中转发送给其他地址的数据包中,应用此链路中的规则。
- PREROUTING 在数据包做出路由选择之前,应用此链中的规则
- POSTROUTING 在对数据包做出选择之后,应用此链中规则
规则表之间顺序当数据包抵达防火墙时&