Iptables(1) - 基础概念

一、Iptables

iptables是防火墙, 它是Netfilter框架的实现, 在报文流经的五个位置设置钩子函数(hook function)对报文进行检查并做出相应处理.

防火墙工作于主机或网络的边界, 对于进出本主机或网络的报文根据事先定义好的检查规则作匹配检查, 对于能够被规则匹配到的报文做出相应处理. 防火墙分为主机防火墙网络防火墙.

iptables命令工作在用户空间.

1.1 iptables的表

iptables根据其具有的功能划分出四个表:

  • filter: 过滤, 因过滤功能被称为防火墙
  • nat(Network Address Translation): 网络地址转换
  • mangle: 拆解报文, 做出修改, 封装报文
  • raw: 关闭nat表上启用的连接追踪机制

1.2 iptables的链(内置)

iptables有五个链(钩子函数):

  • PREROUTING
  • INPUT
  • FORWARD
  • OUTPUT
  • POSTROUTING

1.2.1 流量流入

PREROUTING --> INPUT

1.2.2 流量流出

OUTPUT --> POSTROUTING

1.2.3 转发

PREROUTING --> FORWARD POSTROUTING

1.3 各表实现的位置

  • filter: INPUT, FORWARD, OUTPUT
  • nat: PREROUTING(dnat), OUTPUT(snat), POSTROUTING(snat)
  • mangle: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING
  • rwa: PREROUTING, OUTPUT

1.4 路由发生的位置

  • 报文进入本机后, 判断目标主机
  • 报文发出前, 判断仅有哪个接口送往下一条

1.5 iptables的四表五链

  • 添加规则时的考量点

    • 要实现哪种功能: 判断添加在哪张表上
    • 报文流经的路径: 判断添加在哪个链上
  • 链: 链上规则的次序, 即为检查的次序; 因此隐含一定的法则
    • 同类规则(访问同一应用): 匹配范围小的放上面
    • 不同类规则(访问不同应用): 匹配到报文频率较大的放上面
    • 将那些可由一条规则表述的多个规则合并为一个
    • 设置默认策略

功能优先级次序: row --> mangle --> nat --> filter

1.6 iptables的规则

iptables的规则组成部分如下:

  • 报文的匹配条件: 根据协议报文特征指定匹配条件

    • 基本匹配条件
    • 扩展匹配条件
  • 匹配到之后的处理动作
    • 内建处理机制
    • 自定义处理机制

NOTE: 报文不会经过自定义链, 只能在内置链上通过规则进行应用后生效.

1.7 保存及重载规则

  1. 保存

    $ iptables-save > /PATH/TO/SOMEFILE
  2. 重载
    $ iptables-restore < /PATH/TO/SOMEFIE

原文地址:http://blog.51cto.com/13501622/2143950

时间: 2024-11-08 04:11:31

Iptables(1) - 基础概念的相关文章

iptables基础概念

1.基础概念. 防火墙,其实说白了讲,用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种.无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘.而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP.数据进行检测. 目前市面上比较常见的有3.4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关. 对于TCP/IP的七层模型来讲,我们知道第三层是网络层,三层的防火墙会在这层对源地址和目标地址进行检测.但是对于七层的防

linux基础概念和个人笔记总结(1)

防伪码:青,取之于蓝而青于蓝:冰,水为之寒而寒于水 各位亲爱的朋友们,本次分为6次更新,共12章节,请大家务必温故而知新,重在消化理解,熟练掌握linux基础概念与命令 一.linux系统管理与维护 1.分区:/boot(100-200m) swap:(交换分区,建议是物理分区的1.5-2倍) /:剩余空间 root是管理员用户,区分于administrator 2.对初学者建议:关闭iptables a.chkconfig iptables off b.打开/etc/sysconfig/sel

LVS 实验笔记1 一些基础概念

基础概念 rsync 同步软件 效率不高 inotify 通知 三种集群: LB: load balance 提高服务器的并发能力 HA: 高可用 high availability不会因为一台服务器宕机导致服务不可用 HP:high perfomence  高性能计算集群 并行处理集群 分布式文件系统 将大任务切割为小任务,分别进行处理 health check:健康检查 NFS:net filesystem 共享存储设备 DAS:直接附加存储 块级别交换数据 直接连到多态主机,性能好,但是要

深入研究iptables防火墙基础

防伪码:没有比脚更长的路,没有比人更高的山 第十章 iptables防火墙(一) 前言:我们在以前学习过asa防火墙,对防火墙有一定的了解,那么iptables和asa防火墙类似,作用一样,都是为了保证网络安全,系统安全,服务器的安全,和asa一样也需要建立策略,个人觉得比asa的策略要繁琐一点,但"只要功夫深铁杵磨成针". 一.基础概念 1.iptables表.链结构 a.规则表 表的作用:容纳各种规则链 表的划分依据:防火墙规则的作用相似 默认包括4个规则表 raw表:确定是否对该

【k8s】基础概念

基础概念: 将Docker应用于具体的业务实现,是存在困难的——编排.管理和调度等各个方面,都不容易.于是,人们迫切需要一套管理系统,对Docker及容器进行更高级更灵活的管理. K8S,就是基于容器的集群管理平台,它的全称,是kubernetes. 一个K8S系统,通常称为一个K8S集群(Cluster). 这个集群主要包括两个部分: 一个Master节点(主节点) 一群Node节点(计算节点) Master节点主要还是负责管理和控制.Node节点是工作负载节点,里面是具体的容器. Maste

kubernetes基础概念知多少

kubernetes(简称k8s)是一种用于在一组主机上运行和协同容器化应用程序的管理平台,皆在提供高可用.高扩展性和可预测性的方式来管理容器应用的生命周期.通过k8s,用户可以定义程序运行方式.部署升级策略.动态伸缩容,使得用户以一种更灵活可靠的方式来管理应用程序. 关于k8s,是一种对应用服务的打包.部署.监控等一整套生命周期的自动化管理平台,目前各大公司已在生产环境部署使用,同时k8s社区比较活跃,在未来一段时间内会越来越流行,可以说是以后服务部署的事实标准,对于Java开发者来说,你可以

关系型数据库常用基础概念知识归纳

声明:我的文章都是只挑主要的写,次要细节太多,归纳就没意义了,同时归纳主要是给自己看的, 而且基本都是凭自己的一些记忆和理解即时写的.不一定对和全(但大多是一些需要理解的概念),请各位看管见谅! 数据库设计篇 1.范式 A.1范式,原子性,即列不可分 B.2范式,完全依赖,即有个主键唯一区分 C.3范式,不能传递依赖,即表中不能还有其他表的非主键信息 2.模型 A.概念模型,即ER图等 B.逻辑模型,即建逻辑表 C.物理模型,即生成物理表 事务 1.四大特性, A.原子,要么..要么.. B.隔

分布式学习——基础概念篇

概述 最近这段时间一直在看分布式有关的东西,但是关于分布式自己还是不能很好的理解,所以本文对分布式基础概念进行下学习. 分布式处理 首先先了解一下分布式处理,分布式处理和集中式处理正好是相反的的体系架构,集中传输集中到式处理顾名思义就是将所有的信息都一个统一的信息中心进行处理:分布式处理就是将不同地点的,或具有不同功能的,或拥有不同数据的多台计算机利用通信网络连接起来,让各个计算机各自承担同一个工作任务的不同部分,在控制中心的管理下,同时运行,共同完成同一个工作任务. 提到分布式处理就不能不提到

js基础--javascript基础概念之语法

掌握一门语言 必须先掌握它的语法! javascript 的语法和C.Java.Perl 的语法有些相似.但是比它们更加宽松. javascript 中的一切都是严格区分大小写的.例如变量: demo 和 Demo 两个变量是完全不同的. javascript 标示符,所谓标示符 是指 变量.函数.属性 的名字或函数的参数.标示符的格式是按照以下规则组合的一个或多个字符. 1.第一个字符必须是字母,下划线,或 $ 符号. 2.其他字符可以是字母.下划线.$ . 或数字. 注意 不能把关键字 保留