目录
架构图
IP tables
-
简介
IPtablesLinux防火墙工具,真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构;防火墙是干什么的呢?防止别人恶意访问,为了保证安全而存在;IP tables是上架构图中的“冰山一角”~
网络从设备驱动进入,往上走,netfilter是网络安全框架用于过滤,hook勾子函数!
-
防火墙的分类
防火墙种类 名称 硬件防火墙 [F5](F5设备_百度百科 (baidu.com)) 软件防火墙 iptables 和 firewalld 云服务防火墙 安全组 -
包过滤防火墙
- 包:数据传输过程,并不是一次性传输完成的,而是将数据分成若干个数据包,一点一点传输;类似看视频,加载的缓存,不是一次性将视频加载出来,而是一点一点加载;
- 包过滤防火墙:过滤数据包的防火墙
-
Iptables如何过滤
iptables通过四表五链过滤各种规则
-
“四表”
filter、nat、mangle、raw
表名 作用 与链的关系 filter表 过滤数据包 INPUT、OUTPUT、FORWARD Nat表 用于网络地址转换(IP、端口) PREROUTING、INPUT、OUTPUT、POSTROUTING Mangle表 修改数据包的服务类型、TTL、并且可以配置路由实现QOS PREROUTING、INPUT、OUTPUT、POSTROUTING、FORWARD Raw表 决定数据包是否被状态跟踪机制处理 PREROUTING、OUTPUT -
“五链”
PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING
链名 处理机制 INPUT链 进来的数据包应用此规则链中的策略 OUTPUT链 外出的数据包应用此规则链中的策略 FORWARD链 转发数据包时应用此规则链中的策略 PREROUTING链 主机外报文进入位置,所有的数据包进来的时侯都先由这个链处理,允许的表mangle, nat(目标地址转换,把本机地址转换为真正的目标机地址,通常指响应报文) POSTROUTING链 报文经过路由被转发出去,所有的数据包出来的时侯都先由这个链处理,允许的表mangle,nat(源地址转换,把原始地址转换为转发主机出口网卡地址) -
Iptables流程
完整流程
经常用filter和nat,filter和nat 版
如果有网络A,和网络B,或需要AB中间网络转换,运用上述流程该如何走?如下:
-