iptables的基本概念及数据报文在iptables中的流传过程

iptables 高性价比的防火墙

Linux中建立在内核上的防火墙iptables
在网络攻击方式和技术日益增多的21世纪,服务器的安全性逐渐显得尤为重要,在主机防护层面相比昂贵的硬件防火墙设备,iptables是一种性价比很高的包过滤型软件防火墙,无需昂贵的费用,只需消耗一定的服务器计算资源。

iptables的基本概念


Netfilter:
iptables是建立在内核上的防火墙,而NetfilterLinux内核的一个数据处理模块。
而iptables就相当于在用户空间对于Netfilter的一个调用接口。
Hook point:
iptables既然作为一种防护墙,对于那些不坏好意的不明访问,自然需要一些“守门神”来值班站岗,将不怀好意的家伙统统挡在门外或者让他们缴械投降,
而hook point就起到这个作用,说的专业一点hook point就是数据报文在Netfilter中的挂载点(这么说显得逼格高一些),如上图中所示一个数据报文在经过Netfilter的调用接口iptables进入内核空间后只有通过hook point的审查后才能获准进入网络层从而交给相应的应用服务。

iptables的“四表”和“五链”

hook point作为数据报文在Netfilter中的挂载点,共有五个类型分别是:

  • PREROUTING
  • INPUT
  • OUTPUT
  • FORWARD
  • POSTROUTING

    这五个挂载点又称为iptables的规则链
    既然防火墙对于外来入侵者有了“守门神”那么作为守门神的hook point应该遵循什么样的守门规则呢,iptables的“四表”就是建立在五条规则链上的四种“规则”类别。

    iptables的四张表及其作用分别是:
    filter:访问控制、规则匹配
    net:网络地址转换(IP地址和端口转换)
    mangle:拆解数据报文,做出修改,并且重新封装报文
    raw:关闭net表上启用的连接追踪机制。

数据报文在iptables中的流转过程

        既然一个数据报文在进入网络层前需要经过hook point的层层“审查”,那么审查的先后次序又是怎样的呢?

        注:图中destination=localhost? 指的是一个数据报文中流经iptables时的路由选择阶段。

    由图中可以看出中iptables的五条规则链中,每条链可以同时存在多张表,那么一个数据报文,中流经一个规则链时,要先进入那张表呢?
    iptables四张表的生效优先级是:raw---->manger--->nat--->filter

*****   版权声明:本博客资料及图片,来源于网络及马哥教育和慕课网,相关版权归原作者所有。*****

原文地址:http://blog.51cto.com/3037673/2070585

时间: 2024-10-07 19:33:20

iptables的基本概念及数据报文在iptables中的流传过程的相关文章

AGS中通过FeatureServer插入数据失败、插入数据在WMTS请求中无法显示以及version概念的讨论

1.背景 在多个项目中,当我方接口给其他部门人员使用时出现了插入数据失败或者插入的数据在WMTS请求中无法显示出来的问题.针对这些问题,我在这篇文章中,将详细描述造成以上问题的原因.在此WebGIS产品的前台和后台接口中,此插入数据核心部分均是FeatureServer请求.所以我们首先对FeatureSever服务做一个大致的了解. 2.FeatureServer服务的大致了解 2.1 FeatureServer服务提供的功能 FeatureServer服务可以提供如下几种服务: 我们可以得出

【网络基础】IP数据报文段解析

IP数据报文段的结构示意图如下: (1)版本 占4位,指IP协议的版本. 通信双方使用的IP协议版本必须一致.目前广泛使用的IP协议版本号为4(即IPv4).关于IPv6,目前还处于草案阶段. (2)首部长度 占4位,可表示的最大十进制数值是15. 请注意,这个字段所表示数的单位是32位字长(1个32位字长是4字节),因此,当IP的首部长度为1111时(即十进制的15),首部长度就达到4*15=60字节.当IP分组的首部长度不是4字节的整数倍时,必须利用最后的填充字段加以填充.因此数据部分永远在

vxlan和vlan数据报文

802.1Q标准的以太网帧格式增加了802.1Q字段,该字段包含了Type.PRI.CFI和VID 4个部分,各个部分的含义如下: ·Type:长度为2 bytes,表示帧类型,802.1Q tag帧中Type字段取固定值0x8100,如果不支持802.1Q的设备收到802.1Q帧,则将其丢弃.·PRI:priority字段,长度为3 bit,表示 以太网帧的优先级,取值范围是0~7,数值越大,优先级越高.当交换机/路由器发生传输拥塞时,优先发送优先级高的数据帧.·CFI:Canonical F

Iptables(1) - 基础概念

一.Iptables iptables是防火墙, 它是Netfilter框架的实现, 在报文流经的五个位置设置钩子函数(hook function)对报文进行检查并做出相应处理. 防火墙工作于主机或网络的边界, 对于进出本主机或网络的报文根据事先定义好的检查规则作匹配检查, 对于能够被规则匹配到的报文做出相应处理. 防火墙分为主机防火墙和网络防火墙. iptables命令工作在用户空间. 1.1 iptables的表 iptables根据其具有的功能划分出四个表: filter: 过滤, 因过滤

追踪openvswitch对特定数据报文的流表匹配与处理结果的实例

SDN环境中,每一个openvswitch的datapath实例中都会有大量的流表项,无论是使用各种关键字的grep手段或者是其他方法来确认是否由控制器下发了预期正确流表项,还是看关于特定数据包的匹配与最终action都是一件非常繁琐和头疼的事情.使用ovs-appctl工具结合linux自带的tcpdump抓包工具就可以很轻松直观的最终流表匹配情况,来完成自己繁琐的查找工作,还能避免自己的判断的错误. ?? 主要步骤如下:? ? 1.确认你需要跟踪的数据包的各项参数: ? ? 2.将其转化成o

国产网络测试仪MiniSMB - 双击就可以直接编辑数据报文字段(如IP地址)

国产网络测试仪MiniSMB(www.minismb.com)是复刻smartbits的IP网络性能测试工具,是一款专门用于测试智能路由器,网络交换机的性能和稳定性的软硬件相结合的工具.可以通过此以太网测试工具测试任何IP网络设备的端口吞吐率,带宽,并发连接数和最大连接数等诸多参数指标. 与软件Iperf,netperf, dpdk trafficgen相比较,minismb属于专业硬件网络发包测试仪, 具备精准测试速率,高吞吐率,可模拟千万级连接数等特点.类似于Spirent思博伦smartb

数据在网络7层中的传输过程

1. OSI网络分层參考模型 网络协议设计者不应当设计一个单一.巨大的协议来为全部形式的通信规定完整的细节.而应把通信问题划分成多个小问题.然后为每一个小问题设计一个单独的协议.这样做使得每一个协议的设计.分析.时限和測试比較easy.协议划分的一个主要原则是确保目标系统有效且效率高.为了提高效率.每一个协议仅仅应该注意没有被其他协议处理过的那部分通信问题:为了主协议的实现更加有效,协议之间应该可以共享特定的数据结构:同一时候这些协议的组合应该能处理全部可能的硬件错误以及其他异常情况. 为了保证

大数据落地的大挑战,明略数据在老环境中寻找新路径

"大数据"一词进入了十九大报告中,报告提出要"推动互联网.大数据.人工智能和实体经济深度融合".换句话说,就是要把大数据这样的先进技术,落地到实际的行业应用和业务场景中,对实体经济发挥真正的作用,创造实在的价值. 从2015年起,"大数据"一词就被移出了Gartner的新兴技术炒作曲线.然而,据有关统计,截至2017年8月初,我国大数据领域有183家企业获得融资,其中A轮81家.天使轮51家,也就是72%的大数据企业仍处于创业初期,商业模式仍有待

Jmeter自动化测试 数据驱动测试,将数据存入csv文件中来调用,或将数据存在DB中进行调用

1. 将测试的用例名称,测试请求方式,测试链接,预置数据,断言等都放到excel中,然后转成csv格式,在用Jmeter带的csv数据配置文件导入 运行之前将线程组中配置,线程数设置为1,循环的次数设置为测试用例数! 点击执行,将一各个请求顺序执行. 测试数据如下: Jmeter测试计划如下: 注意:excel格式转csv的时候,涉及到字符转义,入参都加了双引号,所以csv配置中需要选择Allow quoted data,允许带引号的数据 如何请求方式有POST也有GET,可以加一个if逻辑控制