一、tcp状态机
二、四表五链
-
主机防火墙(filter表的INPUT链)。
-
局域网共享上网(nat表的POSTROUTING链),半个路由,NAT功能。
-
端口转发及IP映射(nat表的PREROUTING),硬防的NAT功能。
-
IP一对一映射。
netfilter:framework,TCP/IP,内核中,iptables不是服务,但是有服务脚本,服务脚本的主要作用为生效保存的规则。包过滤防火墙。
工作于主机或网络边缘,对应进出本主机或网络的报文。根据事先定义的检查规则做匹配检测,对于能够被规则匹配到的报文做出相应处理的组件。
报文流向:
- 流入本机:PREROUTING --> INPUT
- 由本机流出:OUTPUT--->POSTROUTING
- 转发:PREROUTING ---> FORWARD ---> POSTROUTING
1、raw表 关闭nat表上启用的连接追踪机制
- PREROUTING
- OUTPUT
2、mangle表 拆解报文、修改、重新封装
- PREROUTING
- INPUT
- FORWARD
- OUTPUT
- POSTROUTING
3、nat表 network address translation 网络地址转换 用于修改源IP或目的IP,也可以修改端口
- PREROUTING
- OUTPUT
- INPUT
- POSTROUTING
4、filter表 包过滤
- INPUT
- OPUTPUT
- FORWARD
5、security
6、规则链
- PREROUTING
- FORWARD
- INPUT
- OUTPUT
- POSTROUTING
数据包过滤匹配流程:
可以使用自定义链,只有在被触发时才生效,如果没有自定义链的任何规则匹配,则返回原有机制。
用户可以删除自定义的空链,默认链无法删除。
链上的规则次序,即为检查的次序。因此,隐含一定的应用法则:
- 同类规则(访问同一应用)