iptables 基本术语

最新推荐文章于 2025-05-16 08:33:21 发布
最新推荐文章于 2025-05-16 08:33:21 发布
阅读量213 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013179272/article/details/52288363
本文深入讲解iptables防火墙的基本概念,包括其在网络层和应用层的工作原理,以及如何通过配置实现数据包过滤和地址转换等功能。文章还介绍了iptables的链、表、规则等核心组件,并解释了诸如DNAT和SNAT等关键技术。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

iptables基本概念

iptables防火墙目前市面上有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。

对于TCP/IP的七层模型来讲,三层的防火墙会在这层对源地址和目标地址进行检测。对于七层的防火墙,不管源端口或者目标端口,源地址或者目标地址是什么,都将对所有的东西进行检查。

                    数据包进入netfilter流程图

数据包进入流程图1

  1. DNAT - Destination Network Address Translation 目的网络地址转换。一种改变数据包目的 ip地址的技术,经常和SNAT联用,以使多台服务器能共享一个ip地址连入Internet,并且继续服务。通过对 同一个ip地址分配不同的端口,来决定数据的流向。

  2. Stream - 流是指发送和接收的数据包和通信的双方都有关系的一种连接连接看作是单向的,流表示双向的连接)。一般的,这个词用于描述在两个方向上发送两个或三个数据包的连 接。对于TCP,流意味着连接,它发送了一个SYN,然后又回复SYN/ACK。但也可能是指这样的连接,发送一 个SYN,回复ICMP主机不可达信息。

  3. SNAT - Source Network Address Translation**源网络地址转换改变数据包源ip地址的技术, 经常用来使多台计算机分享一个Internet地址**。这只在IPv4中使用,因为IPv4的地址已快用完了,IPv6将解 决这个问题。

  4. State - 状态指明数据包处于什么状态。状态在RFC 793 - Transmission Control Protocol中定义,或由用户在Netfilter/iptables中自定义。

  5. User space - 用户空间,指在内核外部或发生在内核外部的任何东西。例如,调用 iptables -h 发生在内核外部,但iptables -A FORWARD -p tcp -j ACCEPT (部分地)发生在内核内部,因为一条新的规则加入了规则集。

  6. target ,对匹配的数据包所做的操作

我是可爱的分割线 ********************************************************************************************************************************************************************************************************************************************************
iptables有
5个链:PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING,
4个表:filter, nat, mangle, raw.
4个表的优先级由高到低的顺序为:raw–>mangle–>nat–>filter

注意:

RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和 ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了.

RAW表可以应用在那些不需要做nat的情况下,以提高性能。如大量访问的web服务器,可以让80端口不再让iptables做数据包的链接跟踪处理,以提高用户的访问速度。

一些关键词解释:

1)匹配(match)
符合指定的条件,比如指定的 IP 地址和端口。

2)丢弃(drop)
当一个包到达时,简单地丢弃,不做其它任何处理。

3)接受(accept)
和丢弃相反,接受这个包,让这个包通过防火墙。

4)拒绝(reject)
和丢弃类似,但是它还会向发送这个包的源主机发送错误消息。这个错误消息可以指定,也可以自动产生。

5)目标(target)
指定的动作,说明如何处理一个包,比如:丢弃,接受,或拒绝。

6)跳转(jump)
和目标类似,不过它指定的不是一个具体的动作,而是另一个链,表示要跳转到那个链上。

7)规则(rule)
一个或多个匹配及其对应的目标。

8)链(chain)
每条链都包含有一系列的规则,这些规则会被依次应用到每个遍历该链的数据包上。每个链都有各自专门的用途。

9)表(table)
每个表包含有若干个不同的链,比如 filter 表默认包含有 INPUT,FORWARD,OUTPUT 三个链。iptables 有四个表,分别是:raw,nat,mangle和filter,每个表都有自己专门的用处,比如最常用filter表就是专门用来做包过滤的,而 nat 表是专门用来做NAT的。

10)策略(police)
策略是指,对于 iptables 中某条链,当所有规则都匹配不成功时其默认的处理动作。

11)连接跟踪(connection track)
又称为动态过滤,可以根据指定连接的状态进行一些适当的过滤,是一个很强大的功能,但同时也比较消耗内存资源。
                    数据包进入netfilter的流程图

数据包进入iptables流程图2

数据包流经netfilter的路径:

a.流入本机数据包的路径:

所属表           mangle                   nat       mangle    nat     filter
网络数据包 -> PREROUTING -> PREROUTING -> 路由选择 -> INPUT -> INPUT -> INPUT -> 本地处理进程
Iptables(1)基本概念
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-19 1537
内核功能:Linux 内核本身提供了网络数据包的处理和过滤功能。iptables 利用了 Linux 内核的网络包过滤机制 Netfilter,这允许用户定义一系列规则,控制数据包的流动。当一个数据包到达系统时,内核将根据预设的 iptables 规则集进行处理,决定数据包的命运:是放行还是丢弃。用户空间服务:iptables 工具实际上是一个位于 Linux 用户空间的命令行工具,用于配置和管理内核中的防火墙规则。
Kubernetes基本概念和术语
恐龙让Lee的博客
07-20 1065
资源对象、集群类:Master、Node:查看信息、污点与容忍、命名空间;应用类:Service与Pod、Label与标签选择器、Pod与Deployment、Service与ClusterIP地址、Service的外网访问问题,有状态的应用集群、批处理应用、应用的配置问题、应用的运维问题;存储类:emptyDir、hostPath、公有云Volume,其他类型的Volume、动态存储管理;安全类:ServiceAccount、Role和ClusterRole、NetworkPolicy;
iptables 详解
热门推荐
Choco Lee 的专栏
06-14 1万+
目录 防火墙简介 iptables 与 firewalld iptables 基础 3.1 链的概念 3.2 表的概念 3.3 链与表的关系 3.4 数据通过的流程 iptables 语法 iptables nat表的应用 1. 防火墙简介 防火墙是一种应用于网络上的过滤机制,从保护对象上可分为:主机防火墙、...
Iptables工作原理使用详解
weixin_30279751的博客
08-01 463
Iptables防火墙简介Iptables名词和术语Iptables工作流程基本语法Filter参数说明NAT表:Icmp协议TCP FLAG 标记什么是状态检测iptables的状态检测是如何工作的iptables 自定义链实例Iptables防火墙简介Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤的防火墙工...
iptables防火墙详解(一)
weixin_33911824的博客
08-05 418
Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或网络层防火墙)。在Linux中netfilter和iptables都是指Linux防火墙。区别在于:netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核态”的防火墙功能体系。iptables:指的是用来管理Linux防火...
常用iptables命令及概念总结
精彩的艺术
12-10 766
开启目的端口22访问 iptables -A INPUT -p tcp --dport 22 -j ACCEPT 开启源端口22访问 iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT 显示nat表的PREROUTING链的规则: iptables -t nat -nL PREROUTING --line-numbers 端口转发: iptables -t nat -A PREROUTING -p tcp -i b...
Linux之iptables
JackDan9
08-08 781
Linux之iptables
Linux-iptables
gongwanzhang的博客
05-16 987
Linux iptables是一个强大而灵活的工具,用于配置Linux操作系统上的网络防火墙。它使得系统管理员可以控制数据包的进出,设定规则来决定哪些数据包可以被接受、拒绝或转发。
iptables详解
Careless的博客
09-30 1万+
iptables详解 目录iptables详解iptables 介绍iptables 总览Iptables 解析常用的 iptables 命令SNAT与DNAT iptables 介绍 iptables 是 Linux 中比较底层的网络服务,它控制了 Linux 系统中的网络操作,在 CentOS 中的 firewalld 和 Ubuntu 中的 ufw 都是在 iptables 之上构建的,只为了简化 iptables 的操作,因此,对于学习了解 iptables 对我们了解 firewalld 和 u
iptables防火墙应用指南
05-31
**1.2 iptables名词和术语** 为了更好地理解和掌握iptables基本概念,本章节将详细介绍iptables中的一些核心词汇: - **1.2.1 容器**:在iptables中,“容器”是指一种包含或归属于某个集合的概念。例如,可以将...
附件_Linux系统iptables配置方法.pdf
05-08
在配置iptables之前,了解几个基本术语非常重要,它们分别是源地址(SRC)、目的地址(DST)、协议(PROTO)、源端口(SPT)和目的端口(DPT)。这些术语是制定访问控制规则的基础。 ### 日志记录配置 1. 修改...
服务器安全之iptables iptables
ZRJ142098的博客
01-13 2116
[iptables防火墙简介 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的安全自由的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。特别是它可以在一台非常低的硬件配置下跑的非常好 Iptables是Linux2.4及2.6内核中集成的服务。其功能与安全性比其ipfwadm,ipchains强大的多,iptables主要工作在OSI七层的二、三、四层,如果重新编译内核,iptables
嵌入式+基于STM32+卫星GPS路径记录仪+附完整源代码
最新发布
08-20
嵌入式+基于STM32+卫星GPS路径记录仪+附完整源代码
计算机视觉学科基础课程作业任务
08-20
资源下载链接为: https://pan.quark.cn/s/149fecb33b85 计算机视觉学科基础课程作业任务(最新、最全版本!打开链接下载即可用!)
【Python毕设】5p118基于python的高校实验室管理系统0_django.zip
08-20
项目资源包含:可运行源码+sql文件+; python3.8+Django+mysql5.7+vue 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
MuMu-5.0.1-lQW9pIC.exe
08-20
MuMu-5.0.1-lQW9pIC.exe
5_新建 Microsoft Word 文档.docx
08-20
5_新建 Microsoft Word 文档.docx
电机专题(直流有刷、无刷电机,步进电机……)详解
08-20
聚焦电机专题,介绍了直流有刷、无刷、舵机、伺服、步进等电机的原理与特点。详细分析了H桥驱动电路,引入PWM脉冲调制实现电机调速。还阐述了编码器原理及计算方法,给出了驱动各类电机的代码,对比了步进电机梯型和S型加减速算法。
【信道估计】基于matlab压缩传感的移动天线通信信道估计【含Matlab源码 14007期】.zip
08-20
Matlab领域上传的视频是由对应的完整代码运行得来的,完整代码皆可运行,亲测可用,适合小白; 1、从视频里可见完整代码的内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
电力系统MATLAB实现基于遗传算法(GA)进行电力负荷预测的详细项目实例(含完整的程序,GUI设计和代码详解)
08-20
内容概要:本文档详细介绍了一个基于MATLAB实现的电力负荷预测项目,该项目运用遗传算法(GA)优化支持向量回归(SVR)和支持向量机(SVM)模型的超参数及特征选择。项目旨在解决电力系统调度、发电计划、需求侧响应等多个应用场景中的关键问题,特别是在应对高比例可再生能源接入带来的非线性、非平稳负荷预测挑战。文中涵盖了从数据接入、特征工程、模型训练到部署上线的全流程,包括详细的代码示例和GUI设计,确保方案的可复现性和实用性。 适用人群:具备一定编程基础,尤其是熟悉MATLAB语言和机器学习算法的研发人员;从事电力系统调度、电力市场交易、新能源消纳等相关领域的工程师和技术专家。 使用场景及目标:①通过构建面向小时级别的滚动预测,输出高分辨率负荷轨迹,为日内与日前滚动调度提供边际成本最小化的依据;②在负荷高峰和供给紧张时,通过价格信号或直接负荷控制实施需求侧响应,提升削峰效率并抑制反弹;③为灵活性资源(调峰机组、储能、可中断负荷)提供更清晰的出清路径,降低弃风弃光率,提升系统整体清洁度;④帮助市场主体更准确地评估边际出清价格变化,提高报价成功率与收益稳定性,同时降低由预测偏差带来的风险敞口;⑤在运维与审计场景中,对预测产生的原因进行说明,保障业务侧与监管侧的可追溯性。 阅读建议:此资源不仅提供了完整的代码实现和GUI设计,更注重于理解GA优化过程中涉及到的数据处理、特征构造、模型选择及评估等核心步骤。因此,在学习过程中,建议结合实际案例进行实践,并深入研究每个阶段的具体实现细节,特别是适应度函数的设计、超参数空间的定义以及多样性维护机制的应用。此外,关注项目中关于数据对齐、缺失值处理、特征标准化等方面的最佳实践,有助于提高模型的鲁棒性和泛化能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值