什么是iptables���?
iptables是Linux下功能強(qiáng)大的應(yīng)用層防火墻工具,但了解其規(guī)則原理和基礎(chǔ)后���,配置起來也非常簡(jiǎn)單�����。
什么是Netfilter��?
說到iptables必然提到Netfilter�����,iptables是應(yīng)用層的�,其實(shí)質(zhì)是一個(gè)定義規(guī)則的配置工具����,而核心的數(shù)據(jù)包攔截和轉(zhuǎn)發(fā)是Netfiler����。
Netfilter是Linux操作系統(tǒng)核心層內(nèi)部的一個(gè)數(shù)據(jù)包處理模塊。
iptables和Netfilter關(guān)系圖:
在這張圖可以看出����,Netfilter作用于網(wǎng)絡(luò)層���,數(shù)據(jù)包通過網(wǎng)絡(luò)層會(huì)經(jīng)過Netfilter的五個(gè)掛載點(diǎn)(Hook point):PRE_ROUTING���、INPUT��、OUTPUT、FORWARD、POST_ROUTING。
任何一個(gè)數(shù)據(jù)包,只要經(jīng)過本機(jī)��,必將經(jīng)過這五個(gè)掛載點(diǎn)的其中一個(gè)��。
iptables規(guī)則原理
iptables的規(guī)則組成����,又被稱為四表五鏈:
四張表 + 五個(gè)掛載點(diǎn) + 規(guī)則<br><br>四張表:filter表��、nat表��、mangle表、raw表<br><br>五個(gè)掛載點(diǎn):PRE_ROUTING�、INPUT��、OUTPUT、FORWARD���、POST_ROUTING
具體來說,就是iptables每一條允許/拒絕或轉(zhuǎn)發(fā)等規(guī)則必須選擇一個(gè)掛載點(diǎn)��,關(guān)聯(lián)一張表���。
規(guī)則代表了對(duì)數(shù)據(jù)包的具體操作�,掛載點(diǎn)代表了操作的位置�,表代表了作用的目的。
iptables的四張表
現(xiàn)在用的比較多的表是前兩個(gè):
1���、filter 用于過濾;
2����、nat 用于地址轉(zhuǎn)換����;
3�����、mangle 修改數(shù)據(jù)包����;
4�、raw 一般是為了不再讓iptables做數(shù)據(jù)包的鏈接跟蹤處理,跳過其他表��,提高性能�;
數(shù)據(jù)包在規(guī)則表、掛載點(diǎn)的匹配流程圖
以下這張圖是數(shù)據(jù)包經(jīng)過掛載點(diǎn)的流程圖�����,在每個(gè)掛載點(diǎn)可以看到有哪些表可以用于定義規(guī)則:
對(duì)于filter表一般只能做在3個(gè)鏈上:INPUT��、FORWARD�、OUTPUT����;
對(duì)于nat表一般也只能做在3個(gè)鏈上:PREROUTING、OUTPUT、POSTROUTING。
