Linux中的防火牆netfilter iptables 簡介
阿新 • • 發佈:2021-08-05
一、Linux防火牆基礎
1.1 ptables的表、鏈結構 1.1.1 Linux包過濾防火牆概述 netfilter 位於Linux核心中的包過濾功能體系 稱為Linux防火牆的"核心態" iptables 位於/sbiniptables,用來管理防火牆規則的工具 稱為Linux防火牆的"使用者態" 上述2種稱呼都可以表示Linux防火牆 1.2 資料包控制的匹配流程 資料包到達防火牆時,規則表之間的優先順序: raw > mangle > nat > filter 1.2.1 四表 raw表∶ 確定是否對該資料包進行狀態跟蹤。包含兩個規則鏈, OUTPUT、PREROUTING。 mangle表∶修改資料包內容,用來做流量整形的,給資料包設定標記。包含五個規則鏈,INPUT、oUTPUT、FORWARD、PRERoUTTNG、PosTRou TING。 nat表∶ 負責網路地址轉換,用來修改資料包中的源、目標IP地址或埠。包含三個規則鏈, oUTPUT、PRERoUTING、PoSTRoUTING。 filter表;負責過濾資料包, 確定是否放行該資料包(過濾)。 包含三個規則鋅鏈,INPUT、FORWARD、OUTPUT。 1.2.2 五鏈二、編寫防火牆規則