Netfilter
Netfilter是Linux内核中的一个数据包处理模块,它可以提供数据包的过滤、转发、地址转换NAT功能。Iptables是一个工具,可以用来在Netfilter中增加、修改、删除数据包处理规则。
Netfilter是位于网卡和内核协议栈之间的一堵墙,是一种免费的软件防火墙。
Netfilter中有三个主要的概念:规则、表、链,等级依次递增。
规则是对特定报文的处理说明,包括匹配字段和action。
链是一组规则的集合。
表是链中相同功能的规则集合。
规则
链
链可以看作网卡和内核协议栈之前的多道关卡,对于不通类型的报文,走不通的关卡进行处理,即匹配不通的链。
由网卡上送到内核协议栈的报文:PREROUTING -> INPUT
由网卡出来不能上送到内核协议栈的报文:PREROUTING -> FORWARD -> POSTROUTING
由内核协议栈送往网卡的报文:OUTPUT -> POSTROUTING
表
为了管理方便,链中相同功能的规则被组织在了一张表中,iptables已经为我们定义了四张表。
表的优先级次序(由高到低):raw -> mangle -> nat -> filter
表链关系
一张链中可以有多张表,但是不一定拥有全部的表。
数据包的处理是根据链来进行的,但是实际的使用过程中,是通过表来作为操作入口,来对规则进行定义的。
iptables
iptables介绍
linux的包过滤功能,即linux防火墙,它由netfilter 和 iptables 两个组件组成。
netfilter 组件也称为内核空间,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
iptables 组件是一种工具,也称为用户空间,它使插入、修改和除去信息包过滤表中的规则变得容易。
iptables基础
我们知道iptables是按照规则来办事的,规则其实就是网络管理员预定义的条件,规则一般的定义为"如果数据包头符合这样的条件,就这样处理这个数据包"。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。
当客户端访问服务器的web服务时,客户端发送报文到网卡,而tcp/ip协议栈是属于内核的一部分,所以,客户端的信息会通过内核的TCP协议传输到用户空间中的web服务中,而此时,客户端报文的目标终点为web服务所监听的套接字(IP:Port)上,当web服务需要响应客户端请求时,web服务发出的响应报文的目标终点则为客户端,这个时候,web服务所监听的IP与端口反而变成了原点,我们说过,netfilter才是真正的防火墙,它是内核的一部分,所以,如果我们想要防火墙能够达到"防火"的目的,则需要在内核中设置关卡,所有进出的报文都要通过这些关卡,经过检查后,符合放行条件的才能放行,符合阻拦条件的则需要被阻止,于是,就出现了input关卡和output关卡,而这些关卡在iptables中不被称为"关卡",而被称为"链"。
以上Linux netfilter/iptables知识点介绍就是小编为大家收集整理的全部内容了,希望对大家有所帮助。如果您喜欢这篇文章,可以收藏或分享给您的小伙伴们吧!欢迎持续关注我们的后续更新。