新增资源及索引表-王辉静知识点62 iptables基础.doc

《新增资源及索引表-王辉静知识点62 iptables基础.doc》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、iptables基础Netfilter是Linux发行版的一部分，Netfilter是一个基于主机的Linux操作系统防火墙。Netfilter的过滤是在内核级别上进行的，在此之前程序甚至无法处理网络包的数据。Netfilter的架构就是在Linux内核中放置了一些检测点（HOOK），而在每个检测点上登记了一些处理函数进行处理（如包过滤，NAT等，甚至可以是用户自定义的功能），当网络包通过相应的检测点时调用在该检测点登记的处理函数。Netfilter的主要功能是包过滤，所谓包过滤是指分析进入Linux主机的网络包，分析包头信息，以决定网络包通过或者丢

2、弃的一种机制。Netfilter防火墙包含以下主要特点：n无状态的包过滤（IPV4和IPV6）n有状态的包过滤（IPV4和IPV6）n各种网络地址和端口转换，比如NAT/NAPT（IPV4和IPV6）n灵活及可扩展的架构n兼容第三方扩展的多层APINetfilter防火墙由称为iptables的程序所控制，iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器，则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。iptables的

3、一个重要优点是，它使用户可以完全控制防火墙配置和信息包过滤。您可以定制自己的规则来满足您的特定需求，从而只允许您想要的网络流量进入系统。另外，iptables是免费的，这对于那些想要节省费用的人来说十分理想，它可以代替昂贵的防火墙解决方案，并且其性能不输于一些专业的硬件防火墙。Iptables是一个通用的定义规则集的表结构。每个表格定义预设的一些规则，每个表格的用途都不同，预设至少有三个表格，包括管理本机网络包进出的filter表、管理防火墙后端的nat表以及通过修改标记进行特殊服务的mangle表，此外，也可以是用户自定义的表。表中包含了分布在各个

4、位置的链，网络数据包进入Linux主机后经过各个链的顺序如图14-1所示。图14-1iptables网络数据包顺序图iptables命令所管理的规则就是存在于各种链中的，每个表中的链的作用如下：Filter(过滤器)：主要和进入Linux主机的数据包有关，是预设的table，包含以下几个链。ØINPUT：与需要进入Linux主机的数据包有关；ØOUTPUT：与需要发送出Linux主机的数据包相关；ØFORWARD：主要负责转发网络数据包到后端电脑，与NAT表相关性比较高。NAT（地址转换）：是NetworkAddressTranslation的缩写，

5、这个表格主要用于进行来源与目的之间的IP和端口转换，与Linux主机本身无关，主要与Linux主机后的局域网内的计算机相关。ØPREROUTING：在进行路由判断之前要进行的规则（DNAT/REDIRECT）ØPOSTROUTING:在进行路由判断之后要进行的规则（SNAT/MASQUERADE）ØOUTPUT：与发送出去的数据包有关Mangle：这个表格主要与特殊的数据包头标志有关，包括PREROUTING、OUTPUT、INPUT及FORWARD链。由于这个表格给特定的服务打标记，对QOS、MARK、TOS、TTL等对数据包处理，在一般比较简单的

6、网络环境里很少使用mangle这个表格。netfilter是一种包过滤型防火墙，会分析数据包表头资料，根据数据包中的表头信息与已经定义的规则（rule）进行比对，如果符合规则对数据包进行相应动作，否则取出下一条规则继续比对。iptables表中每个链包含多条规则，处理数据包时每条规则按顺序进行比对，如果修改链中的规则顺序则会对防火墙结果有较大的影响。