iptables详解使用
Linux系统中,防火墙(防火墙),网址转换(NAT),数据包(包)记录,流量统计,这些功能是由Netfilter子系统所提供的,而iptables是控制Netfilter的工具.iptables将许多复杂的规则组织成成容易控制的方式,以便管理员可以进行分组测试,或关闭,启动某组规则。
引用>iptable能够为Unix, Linux和BSD个人工作站创建一个防火墙,也可以为一个子网创建防火墙以保护其它的系统平台.iptable只读取数据包头,不会给信息流增加负担,也无需进行验证。
防火墻在做信息包過濾決定時,有一套遵循和組成的規則,這些規則存儲在專用的信息包過濾表中,而這些表集成在Linux內核中。在信息包過濾表中,規則被分組放在我們所謂的鏈(链)中。而netfilter/iptables ip信息包過濾系統是一款功能強大的工具,可用於添加,編輯和移除規則。
Linux防火墻是一種典型的包過濾的防火墻,通過檢測到達的數據包頭中的信息確定哪些數據包可以通過,哪一些應該被丟棄,防火墻行為的依據主要是數據包的目的地址,端口號和協議類型。所有這些都應該由管理員指定。
引用> Linux中的包過濾器引擎在2.4版本內核中做了升級。防火墻工具最初叫做ipchains。取這個名字的原因在於防火墻將一系列規則組成一些鏈應用到網絡數據包上.iptables則更進一步把一些功能相似的鏈組合成一個個表。
上面的說法有些抽象,現在考慮一個具體的例子,iptables默認使用的表是过滤器。其中默認的包含了三個鏈。分別是forworld,输入和output.forward鏈中定義的規則作用哪些用於需要轉發到另一個網絡接口的數據包.input鏈中自定義的規則作用於發送到本機的數據包,相對應的.output鏈中定義的規則作用於從本機發送出去的數據包。
通常定義过滤器表就迎合大部分的安全需求,因為這個表包含了包過濾的所有內容。除了过滤器,iptables還包含nat和mangle.nat用於網絡地址轉換.mangle則用於修改除了nat和包過濾之外的網絡包
引用>
<强> 1,术语的解释强>
DNATDestination网络地址转换目标网络地址转换。DNAT是一种改变数据包目的ip地址的技术,经常和SNAT联用,以使多台服务器能共享一个ip地址连入网络,并且继续服务。通过对同一个ip地址分配不同的端口,来决定数据的流向.SNATSource网络地址转换源网络地址转换。这是一种改变数据包源ip地址的技术,经常用来使多台计算机分享一个互联网地址。这只在IPv4中使用,因为IPv4的地址已快用完的了,IPv6将解决这个问题。<强> 2。iptable概述强>
iptable的链和表结构
iptables详解使用