对iptables和netfilter概念的总结

最新推荐文章于 2024-10-12 11:17:06 发布
原创 最新推荐文章于 2024-10-12 11:17:06 发布 · 832 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#iptables #netfilter #iptables和netfilter概念

本文详细介绍了iptables与netfilter的工作原理及其在Linux系统中的应用。包括iptables作为数据包过滤工具的作用,netfilter作为子系统提供的hook函数管理机制,以及二者在数据包过滤、网络地址转换等方面的具体工作流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

参考资料:

http://w.gdu.me/wiki/Linux/iptables_forward_internetshare.html

http://www.cnblogs.com/peteryj/archive/2011/07/24/2115602.html


一、iptables和netfilter

 1、什么是iptables

iptables:iptables是linux系统下网络数据包过滤的配置工具,是操作netfilter用的(要求linux版本号为2.4以上)。

2、什么是netfilter?

netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。

3、iptables和netfilter的对比

netfilter是数据包到达网络接口时,说明网卡如何处理这个包。而iptables是进行改变或控制这个数据包的操作。

 二、细节

 1、数据包从进入到离开系统的流程

如图1。数据包从进入到离开系统,要经过PreRoute,Input,Forward,Output,PostRoute这五个阶段。每个阶段中包括了一些节点,每个节点就是一个过滤时机。当数据包行进到某个节点时,系统就是检测对应节点的过滤规则并进行过滤。

 

                                 图1


2、netfilter对包的处理流程

图2

3、netfilter的表

netfilter内部分为三个表: filter,nat和mangle,而每个表又有不同的操作链。

filter表:防火墙功能。

nat表:实现地址转换和端口转发功能。

mangle表:进行一些自定义的操作。

4、几个链的功能:

PREROUTING(DNAT):在这个链里面我们对包的操作是改变目的地址(或端口),这个链要放在路由(routing)之前,因为若让系统选好路之后再改变目的地址,那么选路就可能是错的。

FORWARD:分支转折。如果包的目的地是本机ip,那么包向上走,走入INPUT链处理,然后进入LOCAL PROCESS,如果非本地,那么就进入FORWARD链进行过滤

POSTROUTING:修改源ip地址。因为 internet上的N多个路由节点不会转发私有地址的数据包

 

总结:怎么控制包?

对包的控制是由我们在不同的链上面添加不同的规则来实现的。

附:iptables使用指南

https://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html#MANGLETABLE

Linux 操作系统原理 — netfilter/iptables 流量处理框架
烟云的计算
05-25 2503
即:内网 IP 地址向外访问 Internet 时,发起访问的内网 IP 地址转换为指定的对外 IP 地址(可指定具体的服务以及相应的端口或端口范围),这使内网的多部主机可以通过同一个有效的公网 IP 地址访问外部网络。IP 网络有公网与私网的区分,企业内网使用私网 IP,Internet 使用公网 IP。DNAT(Destination Network Transform,目的地址转换)与 SNAT 相对,当外部网络访问内部网络时,进来的 IP 数据包会被改变 dstIP 地址。
Linux防火墙-Netfilteriptables
flytalei的博客
07-11 867
防火墙(FireWall ) :隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ(demilitarized zone)网络中.
【Linux 驱动】netfilter/iptables (一) 基础概念
wenqian 'blog
12-20 3698
在介绍netfilter/iptables之前,我们先来了解下防火墙: 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性。它通过访问控制机制,确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。 防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先
iptables netfilter 详解
最新发布
qq_49554011的博客
10-12 1987
iptablesnetfilteriptables是Linux 上最常用的防火墙工具,iptables 与协议栈内有包过滤功能的 hook 交互来完成工作。这些内核 hook 构成了 netfilter 框架每个进入网络系统的包(接收或发送)在经过协议栈时都会触发这些 hook,程序可以通过注册 hook 函数的方式在一些关键路径上处理网络流量。iptables 相关的内核模块在这些 hook 点注册了处理函数,因此可以通过配置 iptables 规则来使得网络流量符合防火墙规则。
netfilter iptables
weixin_34217711的博客
11-18 273
为什么80%的码农都做不了架构师?>>> ...
Netfilteriptables介绍
weixin_38592881的博客
11-03 383
、### 前言 在开始Kubernetes的网络之前我们先来学习NetfilterNetfilter可能了解的人比较少,但是iptables用过 Linux的都应该知道。本文主要介绍Netfilteriptables的原理。 什么是Netfilter Netfilter顾名思义就是网络过滤器,其主要功能就是对进出内核协议栈的数据包进行过滤或者修改,iptables 就是建立在Netfilter之上。Netfilter就是Linux内核里挡在网卡用户态进程之间的一道防火墙。 这幅示意图中,IP包一进一
iptables防火墙配置及Netfilter框架
weixin_48579910的博客
07-13 1488
iptables是一个功能强大且灵活的防火墙工具,通过定义管理规则,可以有效地控制保护网络流量。了解并掌握iptables的基本概念、命令配置示例,可以帮助管理员在多种网络环境下构建安全的防火墙策略。对于更简化的管理,可以考虑使用ufw或firewalld等工具。Netfilter框架是Linux内核中强大且灵活的网络数据包处理框架,通过钩子点、表、链规则的组合,实现复杂的网络过滤、地址转换数据包修改功能。
netfilteriptables & ufw与iptables关系
宾宾宝宝的博客
11-22 1459
本篇主要来介绍一下 什么是netfilteriptables 以及两者的关系 什么是ufw ,以及ufw与iptables的关系 先给出一段英文文献供同学们阅读学习 Traffic into or out of a computer is filtered through “ports,” which are relatively arbitrary (任意的)designations(名称) appended to(附加到) traffic packets destined for(注定要) use
Linux netfilter/iptables知识点详解
01-09
Iptables是一个工具,可以用来在Netfilter中增加、修改、删除数据包处理规则。 Netfilter是位于网卡内核协议栈之间的一堵墙,是一种免费的软件防火墙。 Netfilter中有三个主要的概念:规则、表、链,等级依次递增...
Netfilteriptables命令详解,从入门到精通
meihualing的专栏
05-09 3370
iptables命令详解
洞悉linux下的Netfilter&iptables;
04-19
详细介绍了linux下的防火墙设计原理,基于应用层的iptables内核的Netfilter。重点讲了SNAT\DNAT\状态防火墙等,还有具体实例讲解
iptables netfilter
aoli_shuai的博客
12-18 317
netfilter netfilter 是linux操作系统核心层内部的一个数据包处理模块 netfilter IPtables iptables 的4张表5条链 4张表:filter 表,nat 表 ,mangle 表 , raw 表 5条链:INPUT , OUTPUT , FIRWARD , PREROUTING , POSTROUTING 这张图,表示了iptables的4张表5...
iptables & netfilter
oneslide
11-03 444
网络包特点 根据网络包特点,网络包经历的阶段也不一样。 网络包 经历阶段 入境网络包,目的地址是本地 PREROUTING -> INPUT 入境网络包,目的地址非本地 PREROUTING -> FORWARD -> POSTROUTING 出境网络包,本地生成 OUTPUT -> POSTROUTING 下图说明了网络包的路径: 内核对这些...
netfilteriptables的实现机制
weixin_33915554的博客
03-31 481
随着计算机网络Internet普及,计算机很久之前就开始遭受各种入侵了。因此为了阻止入侵,就产生了网络防火墙以及网络数据分析的需求。 而这个netfilter就是在linux系统中来实现防火墙功能。 netfilter是Linux 2.4.x引入的一个Linux内核框架,提供一整套的hook函数的管理机制。可以根据动态定义的条件来过滤操作分组。...
Netfilter iptables关系
化茧成蝶007
08-19 393
Netfilter所需要的规则是存放的内存中 iptables 对内存中的规则执行添加,删除,及修改等操作。
Netfilteriptables的关系
goingstudy的专栏
10-06 1358
Netfilteriptables的关系   我们常听说Linux防火墙叫做“iptables”,其实这样的称呼并不是很正确,什么是iptables呢?在前面我们提过Netfilter所需要的规则是存放在内存中的,但问题是防火墙管理人员该如何将规则存放到内存呢?因此,防火墙管理人员会需要一个规则编辑工具,通过这个工具来对内存中的规则执行添加、删除及修改等操作,这个工具就是iptables
详述netfilter iptables
Free雅轩的博客
07-24 280
opt->srr&&!1.在物理-网络设备层,网卡通过DMA将接收到的数据包写入内存中的ringbuffer,经过一系列中断调度后,操作系统内核调用__skb_dequeue将数据包加入对应设备的处理队列中,并转换成sk_buffer类型(即socketbuffer-将在整个内核调用栈中持续作为参数传递的基础数据结构,下文指称的数据包都可以认为是sk_buffer),最后调用netif_receive_skb函数按协议类型对数据包进行分类,并跳转到对应的处理函数。...
Netfilter/iptables 简要分析
刘锐群的笔记
10-16 758
1. Netfilter的命令结构 (1)filter 表的任务是执行数据包的过滤操作。即起到防火墙的作用。 (2)nat 表的功能是IP分享器。 (3)mangle 表的可以修改经过防火墙内的数据包的内容,也可以为特定的数据包来标示不同的识别码。 (4)raw 表能够加快数据包穿过防火墙机制的速度,提高防火墙的性能。 2.Netfilter的filter 机制 (1)I
netfilter/iptables详解
秋叶原 && Mike || 麦克
03-24 4756
防火墙的简介 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性。它通过访问控制机制,确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定 IP 包是否可以传进或传出内部网。 防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值