Netfilter作为新一代防火墙架构,包过滤框架,在此框架基础上实现了包过滤、状态检测、网络地址转换和包标记等功能,内核开发人员可以在数据链路层、网络层实现HOOK,来实现自己的功能。用户空间的iptables工具套件,就是一个很好的Netfilter功能实现。
Netfilter在协议栈的五个关键点设置了HOOK,
NF_IP_PRE_ROUTING、NF_IP_LOCAL_IN、NF_IP_FORWARD、NF_IP_LOCAL_OUT、NF_IP_POST_ROUTING;
根据常用应用场景,我们可以想象出几种报文的走向:
1.到本机的数据包:PREROUTING---->INPUT
2.经过本机转发的数据包:PREROUTING---->FORWARD---->POSTROUTING
3.本机上层发送的数据包:OUTPUT---->POSTROUTING
我们把具有相同功能的规则集合成为表;不通功能的规则,我们放置在不同表中进行管理,iptables给我们定义了4种表,每种表定义了不通了功能;按优先级排序如下:
1.raw表:关闭nat表启用的连接追踪机制;内核模块iptables-raw
2.mangle表:拆解修改报文,并重新封装;内核模块iptables-manage
3.nat表:网络地址转换功能;内核模块iptables-nat
4.filter表:负责过滤功能,防火墙;内核模块iptables-filter
当然,linux主机是没有forward功能的,如果需要转发功能,需要更改配置文件;echo 1 /proc/sys/net/ipv4/ip_forward
扫一扫
2269
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
