Linux netfilter/iptables知识点详解

Netfilter

Netfilter是Linux内核中的一个数据包处理模块,它可以提供数据包的过滤、转发、地址转换NAT功能。Iptables是一个工具,可以用来在Netfilter中增加、修改、删除数据包处理规则。

Netfilter是位于网卡和内核协议栈之间的一堵墙,是一种免费的软件防火墙。

Netfilter中有三个主要的概念:规则、表、链,等级依次递增。

  • 规则是对特定报文的处理说明,包括匹配字段和action。
  • 链是一组规则的集合。
  • 表是链中相同功能的规则集合。

规则

链可以看作网卡和内核协议栈之前的多道关卡,对于不通类型的报文,走不通的关卡进行处理,即匹配不通的链。

  • 由网卡上送到内核协议栈的报文:PREROUTING -> INPUT
  • 由网卡出来不能上送到内核协议栈的报文:PREROUTING -> FORWARD -> POSTROUTING
  • 由内核协议栈送往网卡的报文:OUTPUT -> POSTROUTING

为了管理方便,链中相同功能的规则被组织在了一张表中,iptables已经为我们定义了四张表。

表的优先级次序(由高到低):raw -> mangle -> nat -> filter

表链关系

一张链中可以有多张表,但是不一定拥有全部的表。

数据包的处理是根据链来进行的,但是实际的使用过程中,是通过表来作为操作入口,来对规则进行定义的。

iptables

iptables介绍

linux的包过滤功能,即linux防火墙,它由netfilter 和 iptables 两个组件组成。

netfilter 组件也称为内核空间,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。

iptables 组件是一种工具,也称为用户空间,它使插入、修改和除去信息包过滤表中的规则变得容易。

iptables基础

我们知道iptables是按照规则来办事的,规则其实就是网络管理员预定义的条件,规则一般的定义为"如果数据包头符合这样的条件,就这样处理这个数据包"。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。

当客户端访问服务器的web服务时,客户端发送报文到网卡,而tcp/ip协议栈是属于内核的一部分,所以,客户端的信息会通过内核的TCP协议传输到用户空间中的web服务中,而此时,客户端报文的目标终点为web服务所监听的套接字(IP:Port)上,当web服务需要响应客户端请求时,web服务发出的响应报文的目标终点则为客户端,这个时候,web服务所监听的IP与端口反而变成了原点,我们说过,netfilter才是真正的防火墙,它是内核的一部分,所以,如果我们想要防火墙能够达到"防火"的目的,则需要在内核中设置关卡,所有进出的报文都要通过这些关卡,经过检查后,符合放行条件的才能放行,符合阻拦条件的则需要被阻止,于是,就出现了input关卡和output关卡,而这些关卡在iptables中不被称为"关卡",而被称为"链"。

到此这篇关于Linux netfilter/iptables知识点详解的文章就介绍到这了,更多相关Linux - netfilter/iptables内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • Linux netfilter/iptables知识点详解

    Netfilter Netfilter是Linux内核中的一个数据包处理模块,它可以提供数据包的过滤.转发.地址转换NAT功能.Iptables是一个工具,可以用来在Netfilter中增加.修改.删除数据包处理规则. Netfilter是位于网卡和内核协议栈之间的一堵墙,是一种免费的软件防火墙. Netfilter中有三个主要的概念:规则.表.链,等级依次递增. 规则是对特定报文的处理说明,包括匹配字段和action. 链是一组规则的集合. 表是链中相同功能的规则集合. 规则 链 链可以看作网

  • linux DMA接口知识点详解

    1.两种DMA映射类型 1.1. 一致性DMA映射(Consistent DMA mappings ) 主要用于映射长时间使用的区域. CPU和DMA controller不需要考虑cache的影响. 这里的consistent实际上是coherent的概念,不能保证consistent,也就是说需要memory barrier来保证memory order. 1.2 流式DMA映射(streaming DMA mapping) 主要用于一次性DMA传输,传输完成后就会释放. 2.指定DMA设备

  • Linux 远程管理及sshd服务验证知识点详解

    一.SSH远程管理 SSH定义 SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录.远程复制等功能. SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令.因此SSH协议具有很好的安全性. SSH优点 数据传输是加密的,可以防止信息泄漏 数据传输是压缩的,可以提高传输速度 SSH配置文件 sshd 服务的默认配置文件是/etc/ssh/sshd_config ssh_config和sshd_config都是ssh服务器的配置文件 二者区

  • linux 中ls命令详解

    ls命令用来显示目标列表,在Linux中是使用率较高的命令.ls命令的输出信息可以进行彩色加亮显示,以分区不同类型的文件. 语法 ls(选项)(参数) 选项 -a:显示所有档案及目录(ls内定将档案名或目录名称为“.”的视为影藏,不会列出): -A:显示除影藏文件“.”和“..”以外的所有文件列表: -C:多列显示输出结果.这是默认选项: -l:与“-C”选项功能相反,所有输出信息用单列格式输出,不输出为多列: -F:在每个输出项后追加文件的类型标识符,具体含义:“*”表示具有可执行权限的普通文

  • python PaddleOCR库用法及知识点详解

    说明 1.PaddleOCR是基于深度学习的ocr识别库,中文识别精度相当还不错,能够应对大多数文字提取需求. 2.需要依次安装三个依赖库,shapely库可能会受到系统的影响,出现安装错误. 安装命令 pip install paddlepaddle pip install shapely pip install paddleocr 代码实现 ocr = PaddleOCR(use_angle_cls=True,) # 输入待识别图片路径 img_path = r"d:\Desktop\4A3

  • python中subprocess实例用法及知识点详解

    1.subprocess这个模块来产生子进程,并且可以连接到子进程的标准输入.输出.错误中,还可以获得子进程的返回值. 2.subprocess提供了2种方法调用子程序. 实例 # coding:utf-8 import os # popen返回文件对象,同open操作一样 f = os.popen(r"ls", "r") l = f.read() print(l) f.close() Python subprocess知识点扩充 使用subprocess模块的目的

  • Linux入门之网络系统详解

    目录 网络信息 修改主机名 DNS域名解析 网络相关命令 防火墙 加密算法 不可逆加密算法 对称加密算法 非对称加密算法 免密钥登陆 日期与时间 命令 日期同步 用户组权限 管道和重定向 进程 网络信息 修改主机名 # hostname node01 //本次登录修改 # hostname //查看主机名 # vi/etc/hostname //永久修改 # shutdown -r now //修改完后需重启虚拟机 DNS域名解析 IP地址不容易记,取名映射IP配置hosts文件时一般用主机名和

  • Linux动态库函数的详解

    Linux动态库函数的详解 加载动态库 void *dlopen(const char *filename, int flag); flag的可能值: RTLD_LAZY RTLD_NOW RTLD_GLOBAL RTLD_LOCAL RTLD_NODELETE (since glibc 2.2) RTLD_NOLOAD (since glibc 2.2) RTLD_DEEPBIND 这些flag的具体含义可使用man查看 返回动态库中最近的一次错误 char *dlerror(void); 根

  • linux中 pmap 命令详解

    通过查看帮助,返回了如下信息: Usage: pmap [options] pid [pid ...] Options: -x, --extended show details -X show even more details WARNING: format changes according to /proc/PID/smaps -XX show everything the kernel provides -c, --read-rc read the default rc -C, --re

  • Linux 下xargs命令详解及xargs与管道的区别

    为什么要用xargs,问题的来源 在工作中经常会接触到xargs命令,特别是在别人写的脚本里面也经常会遇到,但是却很容易与管道搞混淆,本篇会详细讲解到底什么是xargs命令,为什么要用xargs命令以及与管道的区别.为什么要用xargs呢,我们知道,linux命令可以从两个地方读取要处理的内容,一个是通过命令行参数,一个是标准输入.例如cat.grep就是这样的命令,举个例子: echo 'main' | cat test.cpp 这种情况下cat会输出test.cpp的内容,而不是'main'

随机推荐