Linux防火牆 iptables基本原理 四表五鏈 NetFilter 概述

語言: CN / TW / HK

Linux防火牆主要就行工作的部分在核心,這個模組叫NetFilter;我們平時配置的iptables是給我們的一個配置介面,我們通過iptables配置規則,配置之後,NetFilter通過這些規則來進行防火牆過濾等操作控制。

NetFilter模組:它是主要的工作模組,位於核心中,在網路層的五個位置(也就是防火牆四表五鏈中的五鏈)註冊了一些鉤子函式,用來抓取資料包;把資料包的資訊拿出來匹配各個各個鏈位置在對應表中的

規則:匹配之後,進行相應的處理ACCEPT、DROP等等。

 

 

 

四表五鏈:大家常說的iptables四表五鏈究竟是什麼呢?其實只要理解了表和鏈究竟是做什麼的 就很簡單了。

鏈就是位置:共有五個 進路由(PREROUTING)、進系統(INPUT) 、轉發(FORWARD)、出系統(OUTPUT)、出路由(POSTROUTING);

表就是儲存的規則;資料包到了該鏈處,會去對應表中查詢設定的規則,然後決定是否放行、丟棄、轉發還是修改等等操作。

 

 

我們在平時配置防火牆 主要用到表 就是filter和nat表

Filter表:用來處理是否放行

NAT表:實現資料包轉發,修改源地址 埠 目標地址 埠,實現地址轉換

 

 

Linux註冊的五個鉤子函式:

鏈是位置:對應鉤子函式的位置:在對應位置檢查