iptables 包过滤性防火墙
iptables是位于用户空间,是防火墙管理配置规则的工具。
iptables的作用:用来添加,删除,管理netfilter规则。
Netfilter是位于内核中真正的防火墙,由5个钩子组成,也叫五个规则链。
Netfilter的作用:起到过滤封包,转换与映射IP地址和端口,拆分和修改封包内容,追踪封包等功能
防火墙的组成:4表5链
5链:
PREROUTING(路由前)
INPUT(数据包流入口)
FORWARD(转发链)
OUTPUT(数据包出口)
POSTROUTING(路由后)
4表:
根据优先级从低到高为:
filter:过滤
INPUT FORWARD OUTPUT
nat:网络地址转换
PREROUTING OUTPUT POSTROUTING
mangle:报文拆分已和重装,修改报文内容
PREROUTING INPUT FORWARD OUTPUT POSTROUTING
raw:关闭NAT上启动的连接追踪机制
PREROUTING OUTPUT
iptables:四表五链
添加规则时的考量点:
(1) 要实现哪种功能:判断添加在哪张表上;
(2) 报文流经的路径:判断添加在哪个链上;
链:链上规则的次序,即为检查的次序;因此隐含一定的法则
(1) 同类规则(访问同一应用),匹配范围小的放上面;
(2) 不同类规则(访问不同应用),匹配到报文频率较大的放上面;
(3) 将那些可由一条规则描述的多个规则合并为一个;
(4) 设置默认策略;
原创文章,作者:Net20_赤羽,如若转载,请注明出处:http://www.178linux.com/17303
