首页 > 代码库 > iptables基础(01)
iptables基础(01)
一.Firewall基本概念
Firewall是一款隔离工具;又叫Packets Filter Firewall(包过滤防火墙);工作于主机或网络的边缘,对经由的报文根据预定义的规则(匹配条件)进行检测,对于能够被规则匹配到的报文实行某预定义的处理机制的一套组件。
二.防火墙分类
硬件防火墙:在硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现;
软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙;
主机防火墙:服务范围为当前主机;
网络防火墙:服务范围为防火墙被后的局域网;
三.iptables/netfilter详解
netfilter:防火墙框架,framework;位于内核空间;
iptables:命令行工具程序,位于用户空间;规则管理工具;
netfilter
hooks function(钩子函数):
prerouting
input
forward
output
postrouting
iptables
CHAINS(链):
PREROUTING:流入的数据包进入路由表之前;
INPUT:通过路由表判断后目的地是本机,然户进入本机的内部资源;
FORWARD:由本机产生的数据向外转发;
OUTPUT:通过路由表判断后目的地不是本机,然后通过路由转发到其他地方;
POSTROUTING:传出的数据包到达网卡出口前;
四.报文流经方向
报文流向:
到本机某进程的报文:PREROUTING -->INPUT
由本机转发的报文:PREROUTING -->FORWARD --> POSTROUTING
由本机的某进程发出报文:OUTPUT -->POSTROUTING
五.表分类及功能
tables
filter:过滤;
nat:network address translation,网络地址转换;
mangle:拆解报文,做出修改,并重新封装;
raw:关闭nat表上启用的连接追踪机制;
六.表处理优先级次序
由高到低:
raw-->mangle-->nat-->filter
七.表功能中与钩子的对应关系
功能<--->钩子函数
raw:PREROUTING、OUTPUT
mangle:PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING
nat:PREROUTING、INPUT、OUTPUT、POSTROUTING
filter:INPUT、FORWARD、OUTPUT
八.iptables规则组成部分
匹配条件:
网络层首部:Source IP(源地址)、Destination IP(目标地址)
传输层首部:Source Port(源端口)、Destination Port(目标端口)
扩展检查机制(后面会提到):
处理动作:target
ACCEPT(允许)、DROP(丢弃)、REJECT(拒绝)
本文出自 “亚成-另一个LINUXER” 博客,请务必保留此出处http://yacheng0316.blog.51cto.com/11878883/1886138
iptables基础(01)