linux中 iptables
定义: liunx系统中软件形式的防火墙
前言
防火墙
- 定义
- 防止别人恶意访问
- 种类
- 硬件防火墙
- 自行百度
- 软件防火墙
- 软件形式的防火墙
- iptables
- firewalld
- 安全组
- 包过滤防火墙
- 定义: 过滤数据包的防火墙
- 包: 在数据传输过程,并不是一次性传输完成的;而是将数据分成若干个数据块,一块块传输, 一块儿就是一包.
- 如何实现
- 通过系统安全框架(Netfilter;属iptables),过滤数据包
- 更好理解
- https://baike.baidu.com/item/netfilter/8916221?fr=aladdin#1_1
- 每个关卡都处理或者检验什么?
- 有5道关卡(专业术语叫5链)
- 数据走向-见下详细图
- 两台计算机之间
- PREROUTING: 主机外报文进入的位置
- INPUT:报文进入本机用户空间的位置
- OUTPUT:报文从本机用户空间出去的位置
- POSTROUTING: 报文流出前的关卡
- FOWARD:报文经过路由并且发觉不是本机决定转发但还不知道从哪个网卡出去
- PREROUTING | mangle, nat(目标地址转换,把本机地址转换为真正的目标机地址,通常指响应报文)
- INPUT | filter, mangle
- OUTPUT | filter, mangle, nat
- POSTROUTING | mangle,nat(源地址转换,把原始地址转换为转发主机出口网卡地址)
- FOWARD | filter, mangle
- filter: 负责做过滤功能呢 INPUT、OUTPUT、FORWARD
- nat: 网络地址转换 PREROUTING、INPUT、OUTPUT、POSTROUTING
- mangle: 负责修改数据包内容 PREROUTING、INPUT、OUTPUT、POSTROUTING、FORWARD
- raw: 负责数据包跟踪 PREROUTING、OUTPUT