menu

iptables

netfilter

其实iptables只是Linux防火墙的管理工具而已,位于/sbin/iptables。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。

表与链

!()[http://www.zsythink.net/wp-content/uploads/2017/02/021217_0051_6.png]

表:

  1. filter :input,forward,output
  2. nat: prerouting,output,postrouting
  3. mangle: prerouting,input,forward,output,postrouting
  4. raw: output,prerouting

规则表之间的优先顺序:raw——mangle——nat——filter

链:

  1. INPUT——进来的数据包应用此规则链中的策略
  2. OUTPUT——外出的数据包应用此规则链中的策略
  3. FORWARD——转发数据包时应用此规则链中的策略
  4. PREROUTING——对数据包作路由选择前应用此链中的规则(记住!所有的数据包进来的时侯都先由这个链处理)
  5. POSTROUTING——对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)

规则

处理动作 处理动作在iptables中被称为target(这样说并不准确,我们暂且这样称呼),动作也可以分为基本动作和扩展动作。

此处列出一些常用的动作,之后的文章会对它们进行详细的示例与总结:

  • ACCEPT:允许数据包通过。
  • DROP:直接丢弃数据包,不给任何回应信息,这时候客户端会感觉自己的请求泥牛入海了,过了超时时间才会有反应。
  • REJECT:拒绝数据包通过,必要时会给数据发送端一个响应的信息,客户端刚请求就会收到拒绝的信息。
  • SNAT:源地址转换,解决内网用户用同一个公网地址上网的问题。
  • MASQUERADE:是SNAT的一种特殊形式,适用于动态的、临时会变的ip上。
  • DNAT:目标地址转换。
  • REDIRECT:在本机做端口映射。
  • LOG:在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则,也就是说除了记录以外不对数据包做任何其他操作,仍然让下一条规则去匹配。
keyboard_arrow_up