Iptable的概念
目录
Iptales四表五链
四表五链关系概览
| raw 表 | mangle 表 | nat 表 | filter 表 | |
|---|---|---|---|---|
| PREROUTING 链 | ✅ | ✅ | ✅ | ❌ |
| INPUT 链 | ❌ | ✅ | ✅ | ✔ |
| FORWARD 链 | ❌ | ✅ | ❌ | ✅ |
| OUTPUT 链 | ✅ | ✅ | ✅ | ✅ |
| POSTROUTING 链 | ❌ | ✅ | ✅ | ❌ |
Centos6中NAT表不支持INPUT链
✅ 表示链支持在表操作, ❌ 表示链不支持在表操作, ✔ 表示部分支持
iptables中同一条链四张表的执行优先级 raw -> mangle -> nat -> filter
数据经过防火墙的流向
规则概念
匹配条件
- 基本匹配条件
源地址 Source IP , 目标地址 Destination IP
- 扩展匹配条件
源端口 Source Port , 目标端口 Destination Port
处理动作
| 序号 | 名称 | 描述 |
|---|---|---|
| 1 | ACCEPT | 允许数据包通过 |
| 2 | DROP | 直接丢弃数据包,不给任何回应信息,客户端直到超时才做出反应 |
| 3 | REJECT | 拒绝数据包通过,必要时会给数据发送端一个响应的信息,客户端刚请求就会收到拒绝的信息 |
| 4 | SNAT | 源地址转换,解决内网用户用同一个公网地址上网的问题 |
| 5 | MASQUERADE | SNAT的一种特殊形式,适用于动态的临时会变的IP上 |
| 6 | DNAT | 目标地址转换 |
| 7 | REDIRECT | DNAT的特殊形式,重定向至在本机做端口映射 |
| 8 | LOG | 在/var/log/messages文件记录日志信息,然后将数据包传递给下一条规则 |