iptables只是管理包过滤规则的工具,可以添加或删除包过滤的规则,真正执行包过滤规则的是netfilter
netfilter是Linux核心中的一个通用架构,内部提供一些列的表,每个表由若干条链组成,每条链由一条或多条规则组成,也就是我们常说的四表五链
四表
- filter表 负责包过滤
- nat表 负责网络地址转换
- mangle表 负责包的重构
- raw表 负责数据跟踪处理
五链
- INPUT链 负责进来的数据包的规则
- OUTPUT链 负责外出的数据包的规则
- FORWARD链 负责转发时的规则
- PREROUTING链 负责路由前的规则,也就是数据包进来的时候处理
- POSTROUTING链 负责路由后的规则,也就是数据包出来的时候再处理
iptables工作原理
当数据包进入系统时,系统首先会根据路由表决定将数据包发给哪一条链,常见的情况有3种
第1种,入站的数据包
从外界到达防火墙的数据包先被PREROUTING链处理,再经过INPUT链
如果匹配到规则,就发给相应的本地进程处理
如果没匹配到规则,就丢弃这个数据包
第2种,转发的数据包
从外界到达防火墙的数据包先走PREROUTING链,再走FORWARD链,最后再交给POSTROUTING链,匹配到规则就处理,匹配不到则丢弃
第3种,出站的数据包
防火墙本机向外部发送的数据包先走OUTPUT链,之后交给POSTROUTING链处理
防火墙配置
iptables -t 表名 -vnL -- 查看防火墙规则
- -t 指定表名(默认filter表)
- -v 详细信息
- -n ip以数字形式展示
- -L 列表形式
iptables -t 表名 -操作 链名 -对象 (协议 端口 源/目ip) -j 动作
操作:
- -A 添加规则
- -I 插入规则
- -D 删除规则
对象:
- -s 源ip
- -d 目标ip
- -sport 源端口
- -dport 目标端口
动作:
- ACCEPT 接受
- REJECT 拒绝
- DROP 丢弃
- SNAT 源地址转换
- DNAT 目标地址转换
本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/wangyuxiang946/article/details/119323893