11.2 NetFilter & iptables●NetFilter:Linux内核中iptables:用户程序主要功能:OfilterOnatOmangle
11.2 NetFilter & iptables ⚫NetFilter:Linux内核中 ⚫iptables:用户程序 ⚫主要功能: filter nat mangle
iptables中的表和链lptables工作流程PREROUTINGPOSTROUTINGconntrackconntrackmanglenat-MASQUERADEnat-DNATnat-SNATFORWARDfilterINPUTOUTPUTfilterfilterTmangleconntrackconntrackknowplace.org
iptables中的表和链 ⚫Iptables工作流程
表、链和规则●Tables:提供特定的功能,有三种表:filter,Nat,和mangle,可以对包进行各种不同的操作。●Chains:是包传播的路径,不同的表包含了不同的内置链。Rules:在链中实现某个特定匹配的准则
表、链和规则 ⚫Tables:提供特定的功能,有三种表:filter, Nat,和mangle,可以对包进行各种不同的操 作。 ⚫Chains:是包传播的路径,不同的表包含了 不同的内置链。 ⚫Rules:在链中实现某个特定匹配的准则
Filter表Filter表是专门过滤包的,内建三个链:OFORWARD链过滤所有不是本地产生的并且目的地不是本地(所谓本地就是防火墙了)的包OINPUT恰恰针对那些目的地是本地的包OOUTPUT是用来过滤所有本地生成的包的。可以采取的处理:ODROPOACCEPTOREJECTOLOGORETURN
Filter表 ⚫ Filter表是专门过滤包的,内建三个链: FORWARD 链过滤所有不是本地产生的并且目的地不是 本地(所谓本地就是防火墙了)的包 INPUT恰恰针对那些目的地是本地的包。 OUTPUT 是用来过滤所有本地生成的包的。 ⚫ 可以采取的处理: DROP ACCEPT REJECT LOG RETURN
Mangle表这个表主要用来mangle数据包。可以改变不同的包及包头的内容,比如TTL,TOS或MARK。这个表有五个内建的链:OPREROUTING在包进入防火墙之后、路由判断之前改变包,OPOSTROUTING是在所有路由判断之后。OOUTPUT在确定包的目的之前更改数据包,OINPUT在包被路由到本地之后,但在用户空间的程序看到它之前改变包。OFORWARD在最初的路由判断之后、最后一次更改包的目的之前mangle包
Mangle表 ⚫ 这个表主要用来mangle数据包。可以改变不同的 包及包头的内容,比如 TTL,TOS或MARK。这 个表有五个内建的链: PREROUTING在包进入防火墙之后、路由判断之前改变 包, POSTROUTING是在所有路由判断之后。 OUTPUT在确定包的目的之前更改数据包。 INPUT在包被路由到本地之后,但在用户空间的程序看到 它之前改变包。 FORWARD在最初的路由判断之后、最后一次更改包的 目的之前mangle包