什么是iptables?
iptables是Linux下功能強大的應用層防火墻工具,但了解其規則原理和基礎后,配置起來也非常簡單。
什么是Netfilter?
說到iptables必然提到Netfilter,iptables是應用層的,其實質是一個定義規則的配置工具,而核心的數據包攔截和轉發是Netfiler。
Netfilter是Linux操作系統核心層內部的一個數據包處理模塊。
iptables和Netfilter關系圖:
在這張圖可以看出,Netfilter作用于網絡層,數據包通過網絡層會經過Netfilter的五個掛載點(Hook point):PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING。
任何一個數據包,只要經過本機,必將經過這五個掛載點的其中一個。
iptables規則原理
iptables的規則組成,又被稱為四表五鏈:
四張表 + 五個掛載點 + 規則<br><br>四張表:filter表、nat表、mangle表、raw表<br><br>五個掛載點:PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING |
具體來說,就是iptables每一條允許/拒絕或轉發等規則必須選擇一個掛載點,關聯一張表。
規則代表了對數據包的具體操作,掛載點代表了操作的位置,表代表了作用的目的。
iptables的四張表
現在用的比較多的表是前兩個:
1、filter 用于過濾;
2、nat 用于地址轉換;
3、mangle 修改數據包;
4、raw 一般是為了不再讓iptables做數據包的鏈接跟蹤處理,跳過其他表,提高性能;
數據包在規則表、掛載點的匹配流程圖
以下這張圖是數據包經過掛載點的流程圖,在每個掛載點可以看到有哪些表可以用于定義規則:
對于filter表一般只能做在3個鏈上:INPUT、FORWARD、OUTPUT;
對于nat表一般也只能做在3個鏈上:PREROUTING、OUTPUT、POSTROUTING。
記錄,為更好的自己!
)
