iptables
netfilter
iptables的底层实现是netfilter。netfilter是linux 内核2.4版引入的一个子系统,最初是由Linux内核防火墙和网络维护者Rusty Russell提出。netfilter的架构就是在整个网络流程的若干位置放置一些钩子,并在每个钩子上挂载一些处理函数进行处理。
IP层的5个钩子点的位置,对应iptables就是5条内置链,分别是***PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD***。
netfilter的原理图如下图所示:
路由决策:例如,决定从机器的哪块儿网卡出去,下一跳地址是多少等。
iptables 的三板斧:table, chain和rule
iptables:5X5,即5张表(table)和5条链(chain)。5条链即iptables的5条内置链,对应上述图中的netfilter的5个钩子。
5条链分别是:
- INPUT链:一般用于处理输入本地进程的输入数据包
- OUTPUT链:一般用于处理输入本地进程的输出数据包
- FORWARD链:一般用于处理转发到其他机器/network namespace的数据包。
- PREROUTING链:可以在此进行DNAT
- POSTROUTING链:可以在此进行SNAT
除了上述系统预定义的5条iptables链,用户还可以在表中定义自己的链。
5张表: - filter表: 用于控制到达某条链上的数据包是继续放行(accept),直接丢弃(drop)或者拒绝(reject)。
- nat表: 用于修改数据包的源和目的地址。
- mangle表: 用于修改数据包的IP头信息。
- raw表: iptables是有状态的,即iptables对数据包有连接追踪(connection tracking)机制,而raw是用来去除这种追踪机制的。
- security: 用于在数据包上应用SELinux。security表是新加入的特性。
iptables表的优先级:
注意: iptables不支持用户自定义表