iptables

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了iptables相关的知识,希望对你有一定的参考价值。

一、iptables防火墙的一些基础知识: 

1、关于netfilter与iptables的区别: 
netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核态”的防火墙功能体系。 
iptables:用来管理linux防火墙的命令程序,通常位于/sbin/iptables目录下,属于“用户态”的防火墙体系。 
2、关于iptables的表、链结构: 
为了更加方便的组织和管理防火墙规则,iptables采用了“表”和“链”的分层结构。 
根据规则集的不同用途划分为默认的四个表(raw、mangle、nat、filter);在每个表容器内包括不同的规则“链”,根据处理数据包的不同实际划分为五种链(Input,Output,Forward,Prerouting,Postrouting); 
2.1.四种表所包含的链及各自的用途。 
filter表:用来对数据包进行过滤,根据具体的规则要求决定如何处理一个数据包,包含三种链既Input、Forward、Output 
nat表:主要用来修改数据包的ip地址、端口号等信息。包含Prerouting、Postouting、Output 
mangle表:用来修改数据包的tos、ttl、或者为数据包设置Mark标记以实现流量整形,策略路由等高级应用。包含prerouting、postrouting、input、output、forward链。 
2.2.关于五种规则链。 
INPUT链:入站时,应用此规则。 
OUTPUT链:出站时,应用此规则。 
FORWARD链:当接到需要通过防火墙中转发送给其他地址的数据包时,应用此链规则。 
PREROUTING链:在对数据包做路由现则之前,应用。 
POSTROUTING链:在对数据包做路由选择之后,应用。 
2.3.关于规则表之间的顺序: 
RAW→MANGLE→NAT→FILETER 
2.4.关于规则链之间的顺序: 
入站数据流向:prerouting→input 
转发数据流向:prerouting→forward→postrouting 
出站数据流方向:output→postrouting 
3.规则链内部各条防火墙规则之间的顺序: 
当数据包经过每条规则链时,依次按第一条规则,第二条规则….的顺序进行匹配和处理。 
链内的过滤遵循“匹配既停止”的原则,如果找完整个链也找不到相匹配的规则,就用默认策略进行处理。


以上是关于iptables的主要内容,如果未能解决你的问题,请参考以下文章

iptables

iptables

防火墙

iptables

iptables简单设置

日常运维