Linux笔记-iptables规则原理和组成
Posted IT1995
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux笔记-iptables规则原理和组成相关的知识,希望对你有一定的参考价值。
Netfilter
Netfilter:是Linux操作系统内核层内部的一个数据包处理模块。
Hook point:数据包在Netfilter中的挂载点(PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING)。
用通俗的话解释下:数据包通过网卡,走到操作系统内核后,就会进入Netfilter中这5个挂载点。
可以在这5个挂载点进行Hook,修改数据包。
Netfilter与iptables
iptables规则组成
组成部分:四张表 + 五条链(Hook point) + 规则
四张表:filter表、nat表、mangle表、raw表。
五条链:INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。
每个链的功能都有一个表对应。
一般最关键的表为filter,nat表。
Managle表:修改数据包,改变包头中的内容(TTL,TOS,MARK)。
Filter表:访问控制、规则匹配。
Nat表:地址转发。
iptables规则组成
数据包访问控制:ACCEPT、DROP、REJECT。
数据包改写:SNAT、DNAT。
信息记录:LOG。
其中:SNAT是源地址改写,DNAT是目标地址改写。
规则:
| table | command | chain | Parament & | target | |
| iptables | -t filter nat | -A -D -L -F -P -I -R -n | INPUT FORWARD OUTPUT PREROUTING POSTROUTING | -p tcp -s -d --sport --dport --dports -m tcp state multiport | -j ACCEPT DROP REJECT DNAT SNAT |
以上是关于Linux笔记-iptables规则原理和组成的主要内容,如果未能解决你的问题,请参考以下文章