iptables四个表与五个链间的处理关系

转载自：http://www.linuxidc.com/Linux/2012-08/67505.htm

netfilter/iptables IP 信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。

这些规则存储在专用的信息包过滤表中，而这些表集成在 Linux 内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。

虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体，但它实际上由两个组件 netfilter 和 iptables 组成。

netfilter 组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。

iptables 组件是一种工具，也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。

iptables包含4个表，5个链。其中表是按照对数据包的操作区分的，链是按照不同的Hook点来区分的，表和链实际上是netfilter的两个维度。

4个表:filter,nat,mangle,raw，默认表是filter（没有指定表的时候就是filter表）。表的处理优先级：raw>mangle>nat>filter。

filter：一般的过滤功能

nat:用于nat功能（端口映射，地址映射等）

mangle:用于对特定数据包的修改

raw:有限级最高，设置raw时一般是为了不再让iptables做数据包的链接跟踪处理，提高性能

5个链：PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。

PREROUTING:数据包进入路由表之前

INPUT:通过路由表后目的地为本机

FORWARDING:通过路由表后，目的地不为本机

OUTPUT:由本机产生，向外转发

POSTROUTIONG:发送到网卡接口之前。如下图：

iptables中表和链的对应关系如下：

时间： 2024-08-27 14:58:49

iptables四个表与五个链间的处理关系的相关文章

数据结构导论四线性表的顺序存储VS链式存储

前几章已经介绍到了顺序存储.链式存储顺序存储:初始化.插入.删除.定位链式存储:初始化.插入.删除.定位顺序存储:初始化 strudt student{ int ID://ID char name[30];//姓名 char sex; //性别 int class;//班级 int age;//年龄 } student={"01",“zhangsan”,"m","201","20"}: 链式存储:初始化 //建立一个空链

iptables 四表五链

netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加.编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则.这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中.在信息包过滤表中,规则被分组放在我们所谓的链(chain)中. 虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件 netfilter 和 iptables 组成. netfilter 组件也称为内核空间(ker

iptables的4表5链（未完）

iptables中共4张表:filter,nat,raw,mangle,其中默认表为filter如:iptables -A -p tcp -j ACCEPT 等价于 iptables -t filter -A -p tcp -j ACCEPT iptables是linux的管理工具,位于/sbin/iptables,真正的实现防火墙的是netfilter,它在linux内核中实现包过滤的结构.iptables包含4个表,5个链.其中表示按照对数据包的操作区分的,链是按照不同的hook点来区分的,

iptables中4表5链

iptables防火墙iptables规则firewalld---->iptables----->内核(netfilter)安装iptables服务systemctl stop firewalld.servicesystemctl disable firewalld.serviceyum list |grep iptablesyum -y install iptables-servicessystemctl start iptables.servicesystemctl enable ipta

NNER JOIN连接两个表、三个表、五个表的SQL语句

NNER JOIN连接两个表.三个表.五个表的SQL语句 2013-04-14 15:13:11来源:西部e网作者: SQL INNER JOIN关键字表示在表中存在至少一个匹配时,INNER JOIN 关键字返回行. SQL INNER JOIN关键字表示在表中存在至少一个匹配时,INNER JOIN 关键字返回行. 1.连接两个数据表的用法: FROM Member INNER JOIN MemberSort ON Member.MemberSort=MemberSort.MemberSor

web—第四章css&第五章

web—第四章css&第五章终于迎接等待已久的CSS,在没学这个之前,我们只会用一点img,查一点小图片,或者是用style改一下颜色,而且比较麻烦.现在多了个css在文件夹在创建一个css文件很多东西都可以在css里面而且修改的话非常方便,但是我还是有一些问题,就是老师叫我们做注册表的时候:年月日我真不相信是用下拉列表一个一个打上去的,我一开始想用时间轴但是太难啦,老师也没说. 随着时间过得很快国庆节也要来临了,这几天老师似乎有点急但是又怕教不好我们所以课程会有点紧张,但是我觉得还是很好跟上

iptables 知识-filter表

iptables 免费的基于包过滤的类似交换机acl iptables 表和链个分类 4个表 filter 和主机有关负责防火墙功能过滤本机流入流出的数据包是iptables默认的表 INPUT FORWORD OUTPUT INPUT 过滤所有目标是本机的数据包过滤进入主机的数据包 FORWORD 转发流经主机但不进入主机的数据包转发 OUTPUT 处理源地址是本机的数据包处理从主机发出去的数据包 nat 和主机无关是网络地址转换 OUTPUT PREROUTING P

【5】iptables理解 - mangle表

mangle表:可以对数据包进行修改,此表中的链与其它表中的关系如下: 数据包从网卡接口进来后,最先经过的就是mangle表中的prerouting链.此表中有五条链: iptables -t mangle -L -n Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain INPUT (policy ACCEPT) target prot opt source destination Chain FOR

iptables里filter表前面几个数字的意思

一般的linux系统iptables配置文件filter表前面都带下面三行,但是具体是什么意思呢! *filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0] INPUT:是链名 ACCEPT:是这个链的默认动作第一个0:匹配默认动作的包的个数第二个0:匹配默认动作的包的总字节数 [0:0]像这样,中括号内都是0,表示没有限制包的个数和总字节数,匹配的动作可以无限制的流入流出.