iptables包过滤防火墙 (在用户空间)
netfilter(真正意义上防火墙)在内核空间的
内核空间:也叫内核态,操作系统占据的内核区域
用户空间:也叫用户态,用户进程所在的内存区域
iptables四表五链
防火墙是按照规则办事的,我们就来说说规则 (rules) ,规则其实就是网络管理员预定义的条件,规则一般的定义为"如果数据包头符合这样的条件,就这样处理这个数据包’。规则存储在内核空间的信息包过滤表中,这些规则
分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP) 和服务类型(如HTTP、FTP和SMTP) 等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行 (accept)、拒绝(reject) 和丢弃(drop) 等。配置防火墙的主要工作就是添加、修改和删除这些规则。
当客户端访问服务器的web服务时,客户端发送报文到网卡,而tcp/ip协议栈是属于内核的一部分,所以,客户端的信息会通过内核的TCP协议传输到用户空间中的web服务中,而此时,客户端报文的目标终点为web服务所监听
的套接字 (P:Port)上,当veb服务需要响应客户端请求时,web服务发出的响应报文的目标终点则为客户端,这个时候,web服务所监听的1P与端口反而变成了原点,我们说过,netfiter才是真正的防火墙,它是内核的一部分,
所以,如果我们想要防火墙能够达到"防火"的目的,则需要在内核中设置关卡,所有进出的报文都要通过这些关卡经过检查后,符合放行条件的才能放行,符合阻拦条件的则需要被阻止,于是,就出现了input关卡和output关卡,
而这些关卡在iptables中不被称为 “关卡"而被称为"链”。
报文的流向:到本机某进程的报文,PREROUNTING–>INPUT 由本机转发的报文:PREROUNTING–>FORWARD–>POSTROUTING 由本机的某进程发出报文(通常为响应报文):OUTPUT–>POSTROUTING
规则:源地址 目标地址 源端口 目标端口 协议 服务类型
处理:accept reject(拒绝) drop(丢弃)
iptables 添加 删除 修改
链:INPUT UOTPUT PREROUTING(路由前) FORWARD POSTROUTING(路由后)
表:filter表
先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前在阿里
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新Linux运维全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上运维知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
以点击这里获取!](https://bbs.youkuaiyun.com/topics/618542503)**
扫一扫
5032
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
