netfilter 简介

一、Netfilter 简介

(1) Netfilter 是 Linux 的一种防火墙,iptables 只是用于管理 Netfilter 防火墙的用户程序
(2) Netfilter 防火墙包含五张表,每个表包含不同的规则链,每条规则链包含不同的(用户自定义的)规则
(3) Netfilter 防火墙包含 filter 、nat 、mangle 、raw 、security 五张表,分别用于实现包过滤,网络地址转换、包重构(修改)、数据跟踪处理
(4) Netfilter 防火墙包含五个链:INPUT 、FORWARD 、OUTPUT 、PREROUTING 、POSTROUTING

filter 表:

INPUT :进来的数据包应用的规则链
FORWARD :通过本机转发到其他机器(还没有进入本机)的数据包应用的规则链
OUTPUT :数据包出去之前应用的规则链

nat 表:

PREROUTING :数据包进来的那一刻应用的规则链OUTPUT :数据包出去之前应用的规则链POSTROUTING :数据包出去的那衣裤应用的规则链

二、Netfilter 数据包传输过程

① 当一个数据包进入网卡时,它首先进入 PREROUTING 链,内核根据数据包目的 IP 判断是否需要转送出去
② 如果数据包就是进入本机的,它就会沿着图向下移动,到达 INPUT 链,数据包到了 INPUT 链后,任何进程都会收到它,本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT 链,然后到达 POSTROUTING 链输出
③ 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过 FORWARD 链,然后到达 POSTROUTING 链输出

时间: 2024-11-08 11:39:35

netfilter 简介的相关文章

Linux 防火墙:Netfilter iptables

一.Netfilter 简介 (1) Netfilter 是 Linux 内置的一种防火墙机制,我们一般也称之为数据包过滤机制,而 iptables 只是操作 netfilter 的一个命令行工具(2) Netfilter 是 Linux CentOS 6 内置的防火墙机制,Firewall 是 Linux CentOS 7 内置的防火墙机制,如果想在 CentOS 7 中使用 netfilter 而不是 firewall,操作如下 [[email protected] ~]# systemct

CentoOS iptables详解

一.防火墙.iptables和netfilter简介 防火墙(Firewall):是由软件和硬件设备组合而成的一种隔离技术,它工作于网络或主机的边缘(通信报文的进出口),对于进出本网络或主机的数据包根据事先定义的检测规则进行匹配检测,允许或是限制传输的数据包通过. netfilter:是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集. iptables:是用来插入.修改和删除数据包过滤表中的规则的管理工具. 二.iptables详解 该图片来自于网络 报文流向

Iptables/Netfilter应用总结

目录: 一.理论部分. 二.实验部分. **********************************理论部分********************************** 1. 前提知识 任何主机若要与非同网络中的主机通信,则必须将报文发送到默认网关:对Linux而言,IP地址是属于主机(内核中)的,不属于网卡,只要属于当前主机的IP地址间,都可直接响应,不能称为转发:私有地址在路由器上是不允许被路由的 2. iptables简介: netfilter/iptables(简称为ip

一个Netfilter nf_conntrack流表查找的优化-为conntrack增加一个per cpu cache

独悲需要忍受,快乐需要分享对Linux协议栈多次perf的结果,我无法忍受conntrack的性能,然而它的功能是如此强大,以至于我无法对其割舍,我想自己实现一个快速流表,但是我不得不抛弃依赖于conntrack的诸多功能,比如state match,Linux NAT等,诚然,我虽然对NAT也是抱怨太多,但不管怎样,不是还有很多人在用它吗.       曾经,我针对conntrack查找做过一个基于离线统计的优化,其思路很简单,就使用动态的计算模式代替统一的hash算法.我事先会对经过该BOX

如何增强 Linux 系统的安全性,第一部分: Linux 安全模块(LSM)简介

http://www.ibm.com/developerworks/cn/linux/l-lsm/part1/ 1.相关背景介绍:为什么和是什么 近年来Linux系统由于其出色的性能和稳定性,开放源代码特性带来的灵活性和可扩展性,以及较低廉的成本,而受到计算机工业界的广泛关注和应用.但在安全性方面,Linux内核只提供了经典的UNIX自主访问控制(root用户,用户ID,模式位安全机制),以及部分的支持了POSIX.1e标准草案中的capabilities安全机制,这对于Linux系统的安全性是

Linux内核工程导论——网络:Netfilter概览

简介 最早的内核包过滤机制是ipfwadm,后来是ipchains,再后来就是iptables/netfilter了.再往后,也就是现在是nftables.不过nftables与iptables还处于争雄阶段,谁能胜出目前还没有定论.但是他们都属于netfilter项目的子成员. 钩子 netfilter基于钩子,在内核网络协议栈的几个固定的位置由netfilter的钩子.我们知道数据包有两种流向,一种是给本机的:驱动接收-->路由表-->本机协议栈-->驱动发送.一种是要转发给别人的:

iptables原理简介

1.iptables防火墙简介 Iptables也叫netfilter是Linux下自带的一款免费且优秀的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入.流出.流经服务器的数据包进行精细的控制.iptables是Linux2.4及2.6内核中集成的模块. 2.Iptables服务相关命令 查看iptables状态 service iptables status 开启/关闭iptables service iptables start service iptables stop

tcp_wrapper应用简介

一.tcp_wrapper简介 1.什么是tcp_wrapper tcp wrapper是Wietse Venema开发的一个开源软件.它是一个用来分析TCP/IP封包的软件,类似的IP封包软件还有iptables.Linux默认安装了tcp_wrapper.作为一个安全的系统,Linux本身有两层安全防火墙,通过IP过滤机制的iptables实现第一层防护.iptables防火墙通过直观的监视系统的运行状况,阻挡网络中的一些恶意攻击,保护整个系统正常运行免遭攻击和破坏.如果通过了第一层防护,那

netfilter/iptables全攻略

内容简介 防火墙的概述 iptables简介 iptables基础 iptables语法 iptables实例 案例详解 防火墙的简介 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性.它通过访问控制机制,确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务.它可以根据网络传输的类型决定IP包是否可以传进或传出内部网. 防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,