IPTables工具及其与netfilter关系介绍

最新推荐文章于 2024-02-04 08:00:00 发布
最新推荐文章于 2024-02-04 08:00:00 发布
阅读量5k 收藏 7
点赞数 1
分类专栏: IPTables 文章标签: 工具 table 防火墙 数据结构 hook struct
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuruixn/article/details/7959127
版权

IPTables概述

        IPTables是基于Netfilter基本架构实现的一个可扩展的数据报高级管理系统或核外配置工具,利用tablechainrule三级来存储数据报的各种规则。Netfilter-iptables由两部分组成,一部分是Netfilter"钩子",另一部分则是知道这些钩子函数如何工作的一套规则--这些规则存储在被称为iptables的数据结构之中。钩子函数通过访问iptables来判断应该返回什么值给Netfilter框架。

系统预定义了三个table

·  filter:数据报过滤表(文件net/ipv4/netfilter/iptable_filter.c

        监听NF_IP_LOCAL_INNF_IP_FORWARDNF_IP_LOCAL_OUT三个HOOK,作用是在所有数据报传递的关键点上对其进行过滤。

· nat:网络地址转换表

        监听NF_IP_PRE_ROUTINGNF_IP_POST_ROUTINGNF_IP_LOCAL_OUT三个HOOK,作用是当新连接的第一个数据报经过时,在nat表中决定对其的转换操作;而后面的其它数据报都将根据第一个数据报的结果进行相同的转换处理。该模块以ConnectionTracking模块为基础,仅对每个连接的第一个报文进行匹配和处理,然后交由ConnectionTracking模块将处理结果应用到该连接之后的所有报文。nat仅对报文头的地址信息进行修改,而不修改报文内容,按所修改的部分,nat可分为源NAT(SNAT)和目的NAT(DNAT)两类,前者修改第一个报文的源地址部分,而后者则修改第一个报文的目的地址部分。SNAT可用来实现IP伪装,而DNAT则是透明代理的实现基础。

·  mangle

最低0.47元/天 解锁文章
wuruixn
关注
专栏目录
netfilteriptables & ufw与iptables关系
宾宾宝宝的博客
11-22 1398
本篇主要来介绍一下 什么是netfilteriptables 以及两者的关系 什么是ufw ,以及ufw与iptables关系 先给出一段英文文献供同学们阅读学习 Traffic into or out of a computer is filtered through “ports,” which are relatively arbitrary (任意的)designations(名称) appended to(附加到) traffic packets destined for(注定要) use
Linux-Netfilter&iptables实现机制的分析及应用.pdf
08-04
本文档旨在深入探讨Linux下的Netfilteriptables实现机制,重点关注用户态与内核态规则之间的交互方式及其管理方法。此外,文档还讨论了如何编写自定义扩展模块以及它们的应用场景。 #### 2. 用户态规则与内核态...
Linux iptables:规则原理和基础
weixin_33979363的博客
06-10 475
什么是iptablesiptables是Linux下功能强大的应用层防火墙工具,但了解其规则原理和基础后,配置起来也非常简单。 什么是Netfilter? 说到iptables必然提到Netfilteriptables是应用层的,其实质是一个定义规则的配置工具,而核心的数据包拦截和转发是Netfiler。 Netfilter是Linux操作系统核心层内部的一个数据包处理模块。...
iptables和netfilter关系、原理和应用
weixin_40354988的博客
05-31 728
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代.
Netfilteriptables关系
goingstudy的专栏
10-06 1315
Netfilteriptables关系   我们常听说Linux防火墙叫做“iptables”,其实这样的称呼并不是很正确,什么是iptables呢?在前面我们提过Netfilter所需要的规则是存放在内存中的,但问题是防火墙管理人员该如何将规则存放到内存呢?因此,防火墙管理人员会需要一个规则编辑工具,通过这个工具来对内存中的规则执行添加、删除及修改等操作,这个工具就是iptables
深入理解 netfilteriptables
云原生实验室
03-09 1111
Netfilter (配合 iptables)使得用户空间应用程序可以注册内核网络栈在处理数据包时应用的处理规则,实现高效的网络转发和过滤。很多常见的主机防火墙程序以及 Kubernete...
Linux Netfilter网络安全架构详解与iptables应用
此外,文章还讨论了Netfilter与Linux内核的关系,强调了其在网络架构中的核心地位。Netfilter不仅支持Linux网络服务,还与其他网络模块如IP转发机制、路由等功能紧密结合,共同构建了Linux的完整网络安全体系。 ...
iptables详解
09-04
本文档将详细介绍iptables的工作原理及其在网络安全中的应用。首先,我们需要了解安全体系的一般构成: 1. **Firewalls**:用于监控和控制进出网络的流量。 2. **TCPWrappers**:通过配置文件来限制对特定服务的...
基于Netfilter的NAT技术及其应用
01-01
通过在Linux内核中利用Netfilter框架和iptables工具,可以轻松实现源地址转换(SNAT)和目的地址转换(DNAT),从而满足内部网络与外部网络之间的透明通信需求。NAT技术的应用不仅解决了IPv4地址资源的瓶颈问题,还...
iptables & netfilter
oneslide
11-03 366
网络包特点 根据网络包特点,网络包经历的阶段也不一样。 网络包 经历阶段 入境网络包,目的地址是本地 PREROUTING -> INPUT 入境网络包,目的地址非本地 PREROUTING -> FORWARD -> POSTROUTING 出境网络包,本地生成 OUTPUT -> POSTROUTING 下图说明了网络包的路径: 内核对这些...
iptables/netfilter
weixin_45437959的博客
05-12 316
iptables是一个配置Linux内核防火墙的命令行工具,它基于内核的netfilter机制。新版本的内核(3.13+)也提供了nftables,用于取代iptables。 netfilter netfilter是Linux内核的包过滤框架,它提供了一系列的钩子(Hook)供其他模块控制包的流动。这些钩子包括 NF_IP_PRE_ROUTING:刚刚通过数据链路层解包进入网络层的数据包通过此钩子,它在路由之前处理 NF_IP_LOCAL_IN:经过路由找后,送往本机(目的地址在本地)的包会通过此钩子
netfilteriptables
weixin_34217711的博客
11-18 221
为什么80%的码农都做不了架构师?>>> ...
Netfilteriptables关系
化茧成蝶007
08-19 367
Netfilter所需要的规则是存放的内存中 iptables 对内存中的规则执行添加,删除,及修改等操作。
三张图彻底搞懂 iptables 和 netfilter
06-19 3954
我们都知道,iptables 和 netfilter 构成了 Linux 防火墙的坚实屏障,这两个技术涉及的知识点太广了,面面俱到的话足以写成一本书。但其实抓住重点核心知识的话,三张图就...
netfilteriptables
moots
01-14 507
netfilter what?   (1) Netfilter是Rusty Russell提出的Linux 2.4 内核防火墙框架,框架既简介又灵活,可实现安全策略的很多功能,如DNAT、SNAT、数据包过滤,数据包处理等等。   (2) Netfilter与IP协议栈的关系:Netfilter是嵌入内核IP协议栈的一系列调用入口,设置在报文处理的路径上。Linux网络内核内置了5条链PREROU...
浅析NetFilteriptables
wxywxywxy110的博客
11-24 3498
继上文介绍了Linux防火墙后,浅析Linux防火墙链接一:介绍NetFilteriptables框架如上图,分三种情况介绍数据包和钩子函数的关系: 1.当数据包从物理层和数据链路层传输过来,如果数据包是访问Linux主机本身。则经过PRE_ROUTING和LOCAL_IN钩子函数,到达传输层和应用层。2.当数据包从物理层和数据链路层传输过来,如果数据包需要转发,则经过PRE_ROUTING、F
Iptables 和 Netfilter 架构深入解析
最新发布
rubys_的专栏
02-04 1531
防火墙是一种重要的工具,可以配置来保护您的服务器和基础设施。在 Linux 生态系统中,iptables是一个广泛使用的防火墙工具,它与内核的netfilter数据包过滤框架配合工作。由于复杂的语法和涉及的相关部分数量众多,创建可靠的防火墙策略可能令人望而生畏。在本指南中,我们将深入探讨iptables架构,旨在使其更易于理解,以便需要构建自己防火墙策略的用户。我们将讨论iptables如何与netfilter交互,以及各个组件如何结合在一起,提供全面的过滤系统。还有一类特殊的非终止目标:跳转目标。
详述netfilteriptables
Free雅轩的博客
07-24 224
opt->srr&&!1.在物理-网络设备层,网卡通过DMA将接收到的数据包写入内存中的ringbuffer,经过一系列中断和调度后,操作系统内核调用__skb_dequeue将数据包加入对应设备的处理队列中,并转换成sk_buffer类型(即socketbuffer-将在整个内核调用栈中持续作为参数传递的基础数据结构,下文指称的数据包都可以认为是sk_buffer),最后调用netif_receive_skb函数按协议类型对数据包进行分类,并跳转到对应的处理函数。...
Netfilteriptables介绍
weixin_38592881的博客
11-03 323
、### 前言 在开始Kubernetes的网络之前我们先来学习Netfilter,Netfilter可能了解的人比较少,但是iptables用过 Linux的都应该知道。本文主要介绍Netfilteriptables的原理。 什么是Netfilter Netfilter顾名思义就是网络过滤器,其主要功能就是对进出内核协议栈的数据包进行过滤或者修改,iptables 就是建立在Netfilter之上。Netfilter就是Linux内核里挡在网卡和用户态进程之间的一道防火墙。 这幅示意图中,IP包一进一
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值