IPtables概念和功能

  • IPTABLES四张表&五条链
  • iptables具有Filter, NAT, Mangle, Raw四种内建表。

    1. IPTABLES数据包流程

    数据包先经过PREOUTING,由该链确定数据包走向:
    ? 目的地址是本地,则发送到INPUT,让INPUT决定是否接收下来送到用户空间,流程为①--->②;
    ? 若满足PREROUTING的nat表上的转发规则,则发送给FORWARD,然后再经过POSTROUTING发送出去,流程为: ①--->③--->④--->⑥;
    ? 主机发送数据包时,流程则是⑤--->⑥;
    ? 其中PREROUTING和POSTROUTING指的是数据包的流向,如上图所示POSTROUTING指的是发往公网的数据包,而PREROUTING指的是来自公网的数据包。

    1. Linux下IPtables下Filter表
      Filter表示iptables的默认表,因此如果你没有自定义表,那么就默认使用filter表,它具有以下三种内建链:
      ? INPUT链 – 处理来自外部的数据;
      ? OUTPUT链 – 处理向外发送的数据;
      ? FORWARD链 – 将数据转发到本机的其他网卡设备上。
    2. Linux下IPtables下NAT表
      NAT (网络地址转换) 技术在平时是很多见的,如家庭中在使用路由器共享上网时,一般用的就是 NAT 技术,它可以实现众多内网 IP 共享一个公网 IP 上网。
      NAT 的原理,简单的说就是当内网主机访问外网时,当内网主机的数据包要通过路由器时,路由器将数据包中的源内网 IP 地址改为路由器上的公网 IP 地址,同时记录下该数据包的消息;
      外网服务器响应这次由内而外发出的请求或数据交换时,当外网服务器发出的数据包经过路由器时,原本是路由器上的公网 IP 地址被路由器改为内网 IP 。
      SNAT 和 DNAT 是 iptables 中使用 NAT 规则相关的的两个重要概念。如上图所示,如果内网主机访问外网而经过路由时,源 IP 会发生改变,这种变更行为就是 SNAT;反之,当外网的数据经过路由发往内网主机时,数据包中的目的 IP (路由器上的公网 IP) 将修改为内网 IP,这种变更行为就是 DNAT 。NAT表有三种内建链:
      ? PREROUTING链 – 处理刚到达本机并在路由转发前的数据包。它会转换数据包中的目标IP地址(destination ip address),通常用于DNAT(destination NAT)。
      ? POSTROUTING链 – 处理即将离开本机的数据包。它会转换数据包中的源IP地址(source ip address),通常用于SNAT(source NAT)。
      ? OUTPUT链 – 处理本机产生的数据包。

    原文地址:https://blog.51cto.com/jiangzm/2474998

    时间: 2024-11-10 17:11:19

    IPtables概念和功能的相关文章

    zookeeper基本概念和功能

    2019/2/19 星期二 zookeeper基本概念和功能 zookeeper是hadoop生态圈里面重要的底层的框架,主要为上层的框架提供分布式协调服务的. hadoop-spof 问题及HA 解决思路引入集群协调服务框架的必要性 zookeeper 简介ZooKeeper 是一个分布式应用程序协调服务,分布式应用程序可以基于它实现同步服务,配置维护和命名服务等.目前zookeeper 被广泛应用于hadoop 生态体系中各种框架的分布式协调,我们也可以利用zookeeper 来简化分布式应

    iptables概念及写法详解

     iptables基础概念及写法详解 防火墙控制理论概念的剖析 防火墙在计算机语言中的理解: 工作于主机或者网络边缘,对于进出的报文根据定义的规则做出检查,进而对被规则匹配到的报文作出相应处理的套件. 防火墙和杀毒软件的概念区别:防火墙是在病毒没有进入前做出了规则判断和处理,杀毒软件是对本机内部的病毒进行扫描和处理.这个可以形象的理解为:防火墙是拒人于千里之外,杀毒软件就是瓮中捉鳖. 防火墙的分类: 按照实施的方式分为: 软件防火墙 硬件防火墙 按照应用范围的大小可以分为: 主机防火墙:工作在内

    iptables详解(1):iptables概念

    防火墙相关概念. 逻辑上,防火墙可以分为主机防火墙和网络防火墙. 主机防火墙:针对单个主机进行防护 网络防火墙:处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网 网络防火墙和主机防火墙并不冲突,网络防火墙主外(集体),主机防火墙主内(个人) 物理上,防火墙可以分为硬件防火墙和软件防火墙 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分功能基于软件实现,性能高,成本高. 软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙,性能低,成本低. iptables其实不是

    Linux主机上通过iptables实现NAT功能

    实验:如下模型,node1为内网主机,IP地址为192.168.10.2:node3为外网主机,IP地址为10.72.37.177(假设此地址为公网地址),node3上提供web server和FTP Server的功能:内网主机node2主机有2块网卡,地址分别为eth0:192.168.10.1和eth2:10.72.37.91(假设此地址为公网地址): 现要求在node2上通过iptables配置实现SNAT功能,并做如下限制: 1.node1可以访问node3提供的web服务和ftp服务

    Linux防火墙(iptables )的功能详解二

    iptables/netfilter的网络防火墙 接上文继续讲解网络防火墙和nat功能的基础功能: 网络防火墙的功能简单讲就是,所有经由本机的一个接口进来的报文在本地路由决策后路由的目标地址不是本机,需要帮忙转发到其它网络当中或来源网络中去的这种请求时的场景,我们就称为转发功能: 那么转发的报文必须是经由forward链(含三个链,prerouting,forward,postrouting),不过过滤只能在forward实现: 请注意:定义在forward链上的策略只对那些经由本机转发的报文才

    动手实验iptables的NAT功能实现流量穿透

    1.NAT和iptables理论见: http://lustlost.blog.51cto.com/2600869/943110 2.引子 近期,有同事抱怨说数据入库时,由于数据库所在的服务器只有内网网段,现在只能通过nginx做一个http的代理 来解决外网的数据入库问题,勉强可用但是只局限于http协议(别的用不了,比如tcp或udp等). NAT可以方便的完成这种流量穿通功能,即把外网数据通过NAT(中转设备)来穿透进内网,内网数据通过NAT(中转设备)穿透出外网. 3.搭建实验环境 19

    操作系统的基本概念和功能

    操作系统 一.操作系统简介 二.操作系统的定义 操作系统是指控制和管理整个计算机系统的硬件和软件资源,并合理地组织调度计算机的工作和资源的分配,以提供给用户和其他软件方便的接口和环境,它是计算机系统中最基本的系统软件. 直观的例子:操作系统的"任务管理器". 三.操作系统的功能和目标 操作系统的层次结构 操作系统作为系统资源的管理者(资源包括软件.硬件.文件等),需要提供什么功能? 操作系统作为用户与计算机硬件之间的接口,要为其上层的用户.应用程序提供简单易用的服务,需要实现什么功能?

    1.1_1_操作系统的概念、功能(考研)

    原文地址:https://www.cnblogs.com/cs-kaoyan/p/12001023.html

    防火墙iptables实现Linux强大的NAT功能

    1.概述1.1 什么是NAT在传统的标准的TCP/IP通信过程中,所有的路由器仅仅是充当一个中间人的角色,也就是通常所说的存储转发,路由器并不会对转发的数据包进行修改,更为确切的说,除了将源MAC地址换成自己的MAC地址以外,路由器不会对转发的数据包做任何修改.NAT(Network Address Translation网络地址翻译)恰恰是出于某种特殊需要而对数据包的源ip地址.目的ip地址.源端口.目的端口进行改写的操作.1.2 为什么要进行NAT我们来看看再什么情况下我们需要做NAT.假设