什么是iptables？

iptables是Linux下功能強大的應(yīng)用層防火墻工具，但了解其規(guī)則原理和基礎(chǔ)后，配置起來也非常簡單。

什么是Netfilter？

說到iptables必然提到Netfilter，iptables是應(yīng)用層的，其實質(zhì)是一個定義規(guī)則的配置工具，而核心的數(shù)據(jù)包攔截和轉(zhuǎn)發(fā)是Netfiler。

Netfilter是Linux操作系統(tǒng)核心層內(nèi)部的一個數(shù)據(jù)包處理模塊。

iptables和Netfilter關(guān)系圖：

在這張圖可以看出，Netfilter作用于網(wǎng)絡(luò)層，數(shù)據(jù)包通過網(wǎng)絡(luò)層會經(jīng)過Netfilter的五個掛載點（Hook point）：PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING。

任何一個數(shù)據(jù)包，只要經(jīng)過本機，必將經(jīng)過這五個掛載點的其中一個。

iptables規(guī)則原理

iptables的規(guī)則組成，又被稱為四表五鏈：

四張表 + 五個掛載點 + 規(guī)則四張表：filter表、nat表、mangle表、raw表五個掛載點：PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING

具體來說，就是iptables每一條允許/拒絕或轉(zhuǎn)發(fā)等規(guī)則必須選擇一個掛載點，關(guān)聯(lián)一張表。

規(guī)則代表了對數(shù)據(jù)包的具體操作，掛載點代表了操作的位置，表代表了作用的目的。

iptables的四張表

現(xiàn)在用的比較多的表是前兩個：

1、filter 用于過濾；

2、nat 用于地址轉(zhuǎn)換；

3、mangle 修改數(shù)據(jù)包；

4、raw 一般是為了不再讓iptables做數(shù)據(jù)包的鏈接跟蹤處理，跳過其他表，提高性能；

數(shù)據(jù)包在規(guī)則表、掛載點的匹配流程圖

以下這張圖是數(shù)據(jù)包經(jīng)過掛載點的流程圖，在每個掛載點可以看到有哪些表可以用于定義規(guī)則：

對于filter表一般只能做在3個鏈上：INPUT、FORWARD、OUTPUT；

對于nat表一般也只能做在3個鏈上：PREROUTING、OUTPUT、POSTROUTING。

記錄，為更好的自己！