首页 > 代码库 > iptables基础(01)

iptables基础(01)

一.Firewall基本概念

    Firewall是一款隔离工具;又叫Packets Filter Firewall(包过滤防火墙);工作于主机或网络的边缘,对经由的报文根据预定义的规则(匹配条件)进行检测,对于能够被规则匹配到的报文实行某预定义的处理机制的一套组件。


二.防火墙分类

    硬件防火墙:在硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现;

    软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙;

    主机防火墙:服务范围为当前主机;

    网络防火墙:服务范围为防火墙被后的局域网;


三.iptables/netfilter详解

    netfilter:防火墙框架,framework;位于内核空间;

   iptables:命令行工具程序,位于用户空间;规则管理工具;


    netfilter

        hooks function(钩子函数):

            prerouting

          input

          forward

          output

          postrouting

    

    iptables

        CHAINS(链):

            PREROUTING:流入的数据包进入路由表之前;

         INPUT:通过路由表判断后目的地是本机,然户进入本机的内部资源;

         FORWARD:由本机产生的数据向外转发;

         OUTPUT:通过路由表判断后目的地不是本机,然后通过路由转发到其他地方;

         POSTROUTING:传出的数据包到达网卡出口前;


四.报文流经方向

    报文流向:

        到本机某进程的报文:PREROUTING -->INPUT

      由本机转发的报文:PREROUTING -->FORWARD --> POSTROUTING

      由本机的某进程发出报文:OUTPUT -->POSTROUTING


五.表分类及功能

    tables

        filter:过滤;

      nat:network address translation,网络地址转换;

      mangle:拆解报文,做出修改,并重新封装;

      raw:关闭nat表上启用的连接追踪机制;

    

六.表处理优先级次序

    由高到低

        raw-->mangle-->nat-->filter


七.表功能中与钩子的对应关系

    功能<--->钩子函数

        raw:PREROUTING、OUTPUT

        mangle:PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING

        nat:PREROUTING、INPUT、OUTPUT、POSTROUTING

        filter:INPUT、FORWARD、OUTPUT


八.iptables规则组成部分

    匹配条件:

        网络层首部:Source IP(源地址)、Destination IP(目标地址)

        传输层首部:Source Port(源端口)、Destination Port(目标端口)

        扩展检查机制(后面会提到):

    处理动作:target

        ACCEPT(允许)、DROP(丢弃)、REJECT(拒绝)


            










本文出自 “亚成-另一个LINUXER” 博客,请务必保留此出处http://yacheng0316.blog.51cto.com/11878883/1886138

iptables基础(01)