iptables之四表五链

iptables与Netfilter详解
最新推荐文章于 2025-04-02 16:20:28 发布
最新推荐文章于 2025-04-02 16:20:28 发布
阅读量885 收藏 8
点赞数 2
分类专栏: linux 网络通信 文章标签: iptables 四表五链
本文深入解析了iptables作为Linux防火墙管理工具的核心作用,以及其与Netfilter内核组件的关系。详细介绍了四表五链的概念,包括filter表、nat表、mangle表和raw表的功能,以及它们如何在数据包过滤、网络地址转换、服务类型修改和状态跟踪中发挥作用。

 

iptables可谓是SA的看家本领,需要着重掌握。随着云计算的发展和普及,很多云厂商都提供类似安全组产品来修改机器防火墙。

 

iptables概念

iptables只是Linux防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。

 

iptables具体是如何去过滤各种规则的呢?请看下面的四表五链

四表五链概念

  • filter表——过滤数据包
  • Nat表——用于网络地址转换(IP、端口)
  • Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOS
  • Raw表——决定数据包是否被状态跟踪机制处理
  • INPUT链——进来的数据包应用此规则链中的策略
  • OUTPUT链——外出的数据包应用此规则链中的策略
  • FORWARD链——转发数据包时应用此规则链中的策略
  • PREROUTING链——对数据包作路由选择前应用此链中的规则(所有的数据包进来的时侯都先由这个链处理)
  • POSTROUTING链——对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)

 

 

再来一张十分形象的netfilter图:

 

 

上图十分清晰的表明数据包的流向。由于四表中我们常用的就只有filter和nat,所以再来一张鸟哥版精简图:

默认4种规则表
raw表:是自1.2.9以后版本的iptables新增的表,debug测试,确认是否对该数据包进行状态跟踪,对应的内核模块为iptable_raw,包含两个链:PREROUTING - OUTPUT

mangle表:主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time ToLive,生存周期)值以及为数据包设置Mark标记,以实现Qos (Quality of Service,服务质量)调整以及策略路由等应用,由于需要相应的路由设备支持,因此应用并不广泛。对应的内核模块为iptable_mangle,包含五个链:

nat表:(Network Address Translation,网络地址转换)主要用于修改数据包的IP地址、端口号等信息。修改数据包中源地址和目标ip地址或端口,这是我们要学的重点,内核模块为iptable_nat,在nat表中定义的有PREROUTING - POSTROUTING - OUTPUT三个规则链.

filer表:对数据包进行过滤,准许什么数据包通过,不许什么数据包通过.并且这个规则表也是默认的.这也是重点,对应的内核模块为iptable_ filter,在filter中 有INPUT - FORWARD - OUTPUT三个规则链.

iptables
weixin_34417814的博客
09-26 707
一、什么是iptables   iptables是Linux的防火墙管理工具而已,真正实现防火墙功能的是Netfilter,我们配置了iptables规则后Netfilter通过这些规则来进行防火墙过滤等操作   Netfilter模块:   它是主要的工作模块,位于内核中,在网络层的个位置(也就是防火墙中的)注册了一些钩子函数,用来抓取数据包;把数据包的信息拿出来匹配各个各个...
Iptables
Jack_chao_的博客
07-20 2352
iptables只是防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。iptables具体是如何去过滤各种规则的呢?请看下面的正常的访问流程图。
iptables
weixin_33700350的博客
11-24 226
iptables只是Linux防火墙的管理工具而已,位于/sbin/iptables。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。 iptables包含4个,5个。其中是按照对数据包的操作区分的,是按照不同的Hook点来区分的,实际上是netfilter的两个维度。 4个:filter,nat,ma...
iptables45
精诚所至
02-25 414
iptables 其实关于iptables的使用网上的资料和教程也比较多,主要是要理解其中的路由前和路由后每个所处的位置和作用,明白了也就简单了,以下是我转载的觉得写的比较详细的一篇博客,有时间我将写一篇关于这些的实质性的配置例子。 一、netfilter和iptables说明: 1、 netfilter/iptables IP 信息包...
iptables讲解
weixin_46315488的博客
03-06 827
防火墙是按照规则办事的,我们就来说说规则(rules),规则其实就是网络管理员预定义的条件,规则一般的定义为"如果数据包头符合这样的条件,就这样处理这个数据包"。规则存储在内核空间的信息包过滤中,这些规则分别指定了源地址、目的地址、传输协议(如:TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则
Linux iptables相关规则说明
李姓门徒
02-24 1285
在k8s环境中经常使用iptables规则进行负载均衡、路由转发和NAT等操作,本文针对iptables的实现原理和相关常用方法进行整理和讨论。
iptables与NAT工作原理
tinychen
02-25 2647
本文主要介绍了iptables的基本工作原理和等基本概念以及NAT的工作原理。 1、iptables简介 我们先来看一下netfilter官网对iptables的描述: iptables is the userspace command line program used to configure the Linux 2.4.x and later packet filtering ruleset. It is targeted towards system administrators. Si
防火墙iptables
weixin_46528626的博客
04-23 6767
什么是防火墙? 在计算机中,防火墙是基于安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点; **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当然硬件防火墙也
iptables——
guanghui92luo的专栏
12-21 1358
netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤中,而这些集成在 Linux 内核中。在信息包过滤中,规则被分组放在我们所谓的(chain)中。
iptables防火墙(
m0_74848517的博客
02-05 1508
mangle =>PREROUTING POSTROUTING INPUT OUTPUT FORWARD。转发:PREROUTING===>FORWARD===>POSTROUTING。IP范围匹配:-m iprange --src-range IP范围。多端口匹配:-m multiport --sports 源端口列。MAC地址匹配:-m mac --mac-source MAC地址。状态匹配:-m state --state 连接状态。
iptables
m0_57730097的博客
12-06 887
:INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING filter是默认,过滤规则,根据预定义的规则过滤符合条件的数据,真正负责主机防火墙功能,这个定义了三个。 INPUT:负责过滤所有目标是本机地址的数据包,通俗来说就是过滤进入主机的数据包 OUTPUT:处理所有源地址是本机地址的数据包 FORWARD:负责转发流经主机的数据包。起到转发的作用,和NAT关系很大。 NAT负责网络地址转换,即来源与目的的IP地址和port的转换。和主机本身无关,一般.
iptable
01-15 252
(内置):   PREROUTING:对数据包作路由选择前应用此中的规则;   INPUT:进来的数据包应用此规则中的策略;   FORWARD:转发数据包时应用此规则中的策略;   OUTPUT:外出的数据包应用此规则中的策略;   POSTROUTING:对数据包作路由选择后应用此中的规则; 流入:PREROUTING --> INPUT; 流出:OU...
iptables
oo00ool1l1的博客
04-02 383
FORWARD :FORWARD 用于处理通过本地系统进行转发的数据流量。以上是 iptables的简要说明。INPUT :INPUT 用于处理进入本地系统的数据流量,即接收到的数据包将首先经过 INPUT iptables 是 Linux 系统上用于定义防火墙规则的工具,它通过来进行配置。OUTPUT :OUTPUT 用于处理从本地系统发送出去的数据流量。PREROUTING :PREROUTING 用于在数据包路由之前修改数据包。
防火墙
abc13245821907的博客
10-06 555
防火墙:安全技术:1、入侵检测机制:特点是阻断,量化,定位来自内外的网络的威胁情况。提供报警和事后监督。类似于监控。2、入侵防御:以透明模式工作,分析数据包的内容,对一切进入本机的内容进行防护,对木马,蠕虫,系统漏洞进行分析判断,然后进行阻断。主动的防护机制。部署在整个架构,或者是集群的入口处。(必经之路。3、防火墙:隔离功能,工作在网络或者主机的边缘。对网络或者主机进出的数据包按照一定规则进行检查。(网络层转发的数据包)在工作当中,一般对防火墙的设置都是白名单,拒绝所有,允许个别。
iptables
热门推荐
那时风起
11-06 3万+
iptables     其实关于iptables的使用网上的资料和教程也比较多,主要是要理解其中的路由前和路由后每个所处的位置和作用,明白了也就简单了,以下是我转载的觉得写的比较详细的一篇博客,有时间我将写一篇关于这些的实质性的配置例子。 一、netfilter和iptables说明:     1、   netfilter/iptables IP
iptables口诀
最新发布
06-20
### iptables的口诀记忆方法 iptables 是 Linux 系统中用于配置防火墙规则的强大工具,其核心概念围绕“”展开。以下是关于的记忆口诀及详细说明: #### **一、功能概述** iptables分别是: - **filter **:负责过滤数据包,决定是否允许数据包通过。 - **nat **:负责网络地址转换(NAT),主要用于端口转发和 IP 地址映射。 - **mangle **:用于修改数据包的内容或标记数据包,适用于 QoS(服务质量)控制。 - **raw **:用于指定数据包是否参与连接跟踪机制。 | 名 | 功能描述 | |---------|------------------------------------------| | filter | 过滤数据包(默认) | | nat | 网络地址转换(如端口转发、IP伪装) | | mangle | 修改数据包内容(如TTL、QoS标记) | | raw | 禁用连接跟踪 | #### **二、功能概述** 分别是: - **PREROUTING **:数据包进入路由前处理。 - **INPUT **:目标地址是本机的数据包处理。 - **FORWARD **:目标地址不是本机的数据包处理。 - **OUTPUT **:本机生成的数据包处理。 - **POSTROUTING **:数据包离开路由后处理。 | 名 | 触发条件 | |-----------------|-------------------------------------| | PREROUTING | 数据包到达网卡后立即触发 | | INPUT | 数据包的目标地址是本机 | | FORWARD | 数据包的目标地址不是本机 | | OUTPUT | 数据包由本机生成 | | POSTROUTING | 数据包即将离开本机 | #### **三、记忆口诀** 为了方便记忆 iptables,可以使用以下口诀: - **口诀**: **过(filter)、转(nat)、改(mangle)、生(raw)** - “过”代 filter ,用于过滤数据包。 - “转”代 nat ,用于地址转换。 - “改”代 mangle ,用于修改数据包内容。 - “生”代 raw ,用于控制数据包是否参与连接跟踪。 - **口诀**: **进前(PREROUTING)、入内(INPUT)、转发(FORWARD)、出外(OUTPUT)、走后(POSTROUTING)** - “进前”示数据包在进入路由前触发 PREROUTING 。 - “入内”示目标地址为本机的数据包触发 INPUT 。 - “转发”示目标地址非本机的数据包触发 FORWARD 。 - “出外”示本机生成的数据包触发 OUTPUT 。 - “走后”示数据包离开路由后触发 POSTROUTING 。 #### **、实际应用示例** 以下是一个简单的端口转发规则,展示如何结合 nat 和 PREROUTING 实现外网访问公网 IP:8080 转发到内网服务器 192.168.1.100:80[^2]: ```bash iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to 192.168.1.100:80 ``` #### **、总结** 通过以上口诀,用户可以快速记住 iptables及其功能。此外,理解每个的具体应用场景对于实际操作至关重要。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值