1- 概述
___ netfilter/iptables: IP 信息包过滤系统,实际由两个组件netfilter和iptable组成。
1.1- netfiler/iptables关系:
- netfilter组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包和过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
- iptables组件试试一种工具,也称为用户空间(userspace),它使插入、喜欢和除去信息包过滤表中的规则变得容易。
1.2- iptables链表
___ iptables是基于内核的防火墙,功能非常强大。内置了filter,nat和mangle,raw四张表。所有规则配置后,立即生效,不需要重启服务。
- filter负责过滤数据包,包括规则链有:input, output,forward
- natS涉及网络地址转换,包括规则链有: prerouting,postrouting和output
- mangle主要应用在修改数据包内容上,用来做流量整形,给数据包打标识,规则链有: input,output,nat,postrouting,prerouting
- raw 用于处理异常,一般使用不到,包括规则链有:prerouting,output。
1.3- 五个链
- input: 匹配目标ip是本机的数据包
- output: 出口数据包,一般不在此链上做配置
- forward: 匹配流经本机的数据包
- prerouting:用来修改目的的地址,用来做DNAT。如:把内网中的80端口映射到路由器外网端口上
- postrouting:用来修改源地址用来做SNAT。 如: 内网通过路由器NAT转换功能实现通过一个公网地址上网
1.4- 总结
iptables四张表,五链,结构如下:
1.5- 流量包经过顺序