netfilter/iptables IP信息包过滤系统是一种功能强大的工具,可用于添加,编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在Linux内核中。在信息包过滤表中,规则被分组放在我们所谓的链(链)中。
虽然netfilter/iptables IP信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter和iptables组成。
netfilter组件也称为内核空间(存储),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
iptables组件是一种工具,也称为用户空间(用户空间),它使插入,修改和除去信息包过滤表中的规则变得容易。
iptables包含4个表,5个链。其中表是按照对数据包的操作区分的,链是按照不同的钩点来区分的,表和链实际上是netfilter的两个维度。
4个表:过滤器,nat,乱砍,原始,默认表是过滤器(没有指定表的时候就是过滤表)。表的处理优先级:raw> mangle> nat>过滤器。
过滤器:一般的过滤功能
奈特:用于nat功能(端口映射,地址映射等)
损坏:用于对特定数据包的修改
生:有限级最高,设置生时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能
5个链:PREROUTING,输入,输出,POSTROUTING。
PREROUTING:数据包进入路由表之前
输入:通过路由表后目的地为本机
转发:通过路由表后,目的地不为本机
输出:由本机产生,向外转发
POSTROUTIONG:发送到网卡接口之前。
