Linux中netfilter/iptables知识点的示例分析

这篇文章主要介绍Linux中netfilter/iptables知识点的示例分析，文中介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们一定要看完！

Netfilter

Netfilter是Linux内核中的一个数据包处理模块，它可以提供数据包的过滤、转发、地址转换NAT功能。Iptables是一个工具，可以用来在Netfilter中增加、修改、删除数据包处理规则。

Netfilter是位于网卡和内核协议栈之间的一堵墙，是一种免费的软件防火墙。

Netfilter中有三个主要的概念：规则、表、链，等级依次递增。

• 规则是对特定报文的处理说明，包括匹配字段和action。
  

• 链是一组规则的集合。
  

• 表是链中相同功能的规则集合。
  

规则

链

链可以看作网卡和内核协议栈之前的多道关卡，对于不通类型的报文，走不通的关卡进行处理，即匹配不通的链。

• 由网卡上送到内核协议栈的报文：PREROUTING -> INPUT
  

• 由网卡出来不能上送到内核协议栈的报文：PREROUTING -> FORWARD -> POSTROUTING
  

• 由内核协议栈送往网卡的报文：OUTPUT -> POSTROUTING
  

表

为了管理方便，链中相同功能的规则被组织在了一张表中，iptables已经为我们定义了四张表。

表的优先级次序（由高到低）：raw -> mangle -> nat -> filter

表链关系

一张链中可以有多张表，但是不一定拥有全部的表。

数据包的处理是根据链来进行的，但是实际的使用过程中，是通过表来作为操作入口，来对规则进行定义的。

iptables

iptables介绍

linux的包过滤功能，即linux防火墙，它由netfilter 和 iptables 两个组件组成。

netfilter 组件也称为内核空间，是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。

iptables 组件是一种工具，也称为用户空间，它使插入、修改和除去信息包过滤表中的规则变得容易。

iptables基础

我们知道iptables是按照规则来办事的，规则其实就是网络管理员预定义的条件，规则一般的定义为"如果数据包头符合这样的条件，就这样处理这个数据包"。规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的主要工作就是添加、修改和删除这些规则。

当客户端访问服务器的web服务时，客户端发送报文到网卡，而tcp/ip协议栈是属于内核的一部分，所以，客户端的信息会通过内核的TCP协议传输到用户空间中的web服务中，而此时，客户端报文的目标终点为web服务所监听的套接字（IP：Port）上，当web服务需要响应客户端请求时，web服务发出的响应报文的目标终点则为客户端，这个时候，web服务所监听的IP与端口反而变成了原点，我们说过，netfilter才是真正的防火墙，它是内核的一部分，所以，如果我们想要防火墙能够达到"防火"的目的，则需要在内核中设置关卡，所有进出的报文都要通过这些关卡，经过检查后，符合放行条件的才能放行，符合阻拦条件的则需要被阻止，于是，就出现了input关卡和output关卡，而这些关卡在iptables中不被称为"关卡",而被称为"链"。

以上是“Linux中netfilter/iptables知识点的示例分析”这篇文章的所有内容，感谢各位的阅读！希望分享的内容对大家有帮助，更多相关知识，欢迎关注亿速云行业资讯频道！