iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理。
防火墙会按照从上到下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。一般而言,防火墙策略规则的设置有两种:放行和阻止。
iptables内置了filter,nat和mangle三张表。
具体如下:
三表:
filter负责过滤数据包,包括的规则链有,input,output和forward;
nat则涉及到网络地址转换,包括的规则链有,prerouting,postrouting和output;
mangle表则主要应用在修改数据包内容上,用来做流量整形的,给数据包打个标识,默认的规则链有:INPUT,OUTPUT、 forward,POSTROUTING,PREROUTING;
Raw [rɔ:]表:用于处理异常,包括的规则链有,prerouting,output; 一般使用不到。
iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类。
表和表之间的优先顺序:raw>mangle>nat>filter
五链:
1.在进行路由选择前处理数据包(PREROUTING):来修改目的地址,用来做DNAT 。
2.,处理流入的数据包(INPUT):匹配目标IP是本机的数据包
3.处理流出的数据包(OUTPUT):出口数据包,一般不在此链上做配置
4.处理转发的数据包(FORWARD):匹配流经本机的数据包
5.在进行路由选择后处理数据包(POSTROUTING):用来修改源地址用来做SNAT。
链与链之间的匹配顺序:
入站数据:PREROUTING,INPUT
出站数据:OUTPUT/POSTROUTING
转发数据:PREROUTING/FORWARD/POSTROUTING
四种动作:
ACCEPT 允许
REJECT 明确拒绝
DROP 不理睬 丢弃
LOG 记录
请登录后查看评论内容