/位于  /sbin/iptables

創(chuàng)新互聯(lián)公司是專業(yè)的安新網(wǎng)站建設公司，安新接單;提供網(wǎng)站設計、成都網(wǎng)站建設,網(wǎng)頁設計,網(wǎng)站設計,建網(wǎng)站,PHP網(wǎng)站建設等專業(yè)做網(wǎng)站服務;采用PHP框架,可快速的進行安新網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團隊,希望更多企業(yè)前來合作!

 四表五鏈

 四表 filter. nat. mangle. raw

 五鏈 INPUT. FORWARD. OUTPUT. PREROUTING. POSTROUTING

 表的處理優(yōu)先級  raw >mangle >nat >filter

 filter：執(zhí)行所有的過濾動作

 nat:(端口映射，地址轉(zhuǎn)換)，所有網(wǎng)絡地址轉(zhuǎn)換都在nat上執(zhí)行

 mangle：用于數(shù)據(jù)包的修改

 raw：加快封包穿越防火墻的速度，可提高防火墻性能

 五個鏈的作用

 INPUT: 處理入站數(shù)據(jù)包，通過路由表后目的地為本機

 OUTPUT：由本級產(chǎn)生，向外轉(zhuǎn)發(fā)

 FORWARD：通過路由表后，目的地不為本機

 PREROUTING：數(shù)據(jù)包進入路由表之前

 POSTROUTING：在進行路由選擇前處理數(shù)據(jù)包，數(shù)據(jù)包進入路由表之前

 規(guī)則鏈之間的匹配順序

 入站數(shù)據(jù)：PREROUTING >INPUT

 出站數(shù)據(jù)：OUTPUT >POSTROUTING

 轉(zhuǎn)發(fā)數(shù)據(jù)：PREROOUTING >FORWARD >POSTROUTING

 1.當數(shù)據(jù)包的目標地址是本機時

 （1）數(shù)據(jù)包進入網(wǎng)絡接口

 （2）進入NAT表的prerouting鏈，根據(jù)需要做DNAT

 （3）進入mangle表的prerouting鏈，在這里根據(jù)需要改變數(shù)據(jù)包頭內(nèi)容（比如TTL值）

 （4）進入路由判斷，（進入本地還是轉(zhuǎn)發(fā)）

 （5）進入mangle表的INPUT鏈，在路由之后到達本地程序之前修改數(shù)據(jù)包頭內(nèi)容

 （6）進入filter表的INPUT鏈，所有目標地址是本機的數(shù)據(jù)包都會經(jīng)過這里

 （7）到達本機應用程序處理

 2.當數(shù)據(jù)包的源地址是本機時、

 （1）本機應用程序產(chǎn)生數(shù)據(jù)包

 （2）路由判斷

 （3）進入mangle表的OUTPUT鏈，在這里可以根據(jù)需要改變包頭內(nèi)容

 （4）進入nat表的OUTPUT鏈，根據(jù)需要對防火墻產(chǎn)產(chǎn)生的數(shù)據(jù)作DNAT

 （5）進入filter表的OUTPUT鏈，在這里可以對數(shù)據(jù)包的過濾條件進行設置

 （6）進入mangle表的PREROUTING鏈，這里主要做DNAT動作

 （7）進入NAT表的PREROUTING鏈，這里主要做DNAT動作

 （8）離開本機

 3.經(jīng)由本機轉(zhuǎn)發(fā)的數(shù)據(jù)包  （源、目標地址都不是本機）

 （1）數(shù)據(jù)包進入網(wǎng)絡接口

 （2）mangle表的PREROUTING鏈，在這里可以根據(jù)需要改變數(shù)據(jù)包內(nèi)容（TTL值）

 （3）nat表中FORWARD鏈，可根據(jù)需要對數(shù)據(jù)包做DNAT

 （4）mangle表的FORWARD鏈，在這里數(shù)據(jù)包頭內(nèi)容被修改

 （5）filter表的FORWARD鏈，需要轉(zhuǎn)發(fā)的數(shù)據(jù)包會到這里

 （6）mangle表的PREROUTING鏈

 （7）nat表的POSTROUTING鏈，在這里根據(jù)需要對數(shù)據(jù)包做SNAT

 （8）離開網(wǎng)絡接口

   Iptables表和鏈的動作

 filter表主要用于過濾數(shù)據(jù)包，對數(shù)據(jù)包進行（ACCEPT DROP REJECT LOG RETURN）

 filter表包含：

 INPUT鏈，過濾所有目標地址是本機的數(shù)據(jù)包

 FORWARD鏈，過濾由本機轉(zhuǎn)發(fā)的數(shù)據(jù)包

 OUTPUT鏈，過濾有本機產(chǎn)生的數(shù)據(jù)包

 NAT表主要用于網(wǎng)絡地址轉(zhuǎn)換

 (1)DNAT，主要用于改變數(shù)據(jù)包目的地址，使包能重新路由到某臺主機

 (2)SNAT,改變數(shù)據(jù)包的源地址，將源地址轉(zhuǎn)換成公網(wǎng)地址

 NAT表包含三條鏈

 （1）PREROUTING鏈，在數(shù)據(jù)包到達防火墻的時候改變目標地址

 （2）OUTPUT鏈，可以改變數(shù)據(jù)包的目的地址

 （3）POSTROUTING，在數(shù)據(jù)包離開防火墻時改變數(shù)據(jù)包源地址

 MANGLE表

 mangle表主要用于修改數(shù)據(jù)包，通過mangle表可以改變（TTL）等

 mangle表主要包含5條鏈

 （1）PREROUTING、 （2）POSTROUTING、 （3）OUTPUT、 （4）INPUT、 （5）FORWARD、

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

當前題目：Netfilter/Iptables概述-創(chuàng)新互聯(lián)
URL標題：http://aaarwkj.com/article16/ccoidg.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站建設、小程序開發(fā)、靜態(tài)網(wǎng)站、網(wǎng)站維護、手機網(wǎng)站建設、電子商務

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)