鸿鹄论坛

 找回密码
 论坛注册

QQ登录

只需一步,快速开始

查看: 51|回复: 2

iPtables 介绍

[复制链接]
发表于 2018-11-8 17:39:35 | 显示全部楼层 |阅读模式
Iptables隶属于netfileter.org的一个包过滤框架的一个项目软件,基本在linux 2.4.x以后的版本中都在内核中支持。Iptables的项目https://git.netfilter.org/iptables/.

主要功能
Iptables提供包过滤、网络地址转换和其他包封装处理,主要功能如下所示:
1、 无状态包过滤(IPv4 and IPv6)
2、 有状态包过滤(IPv4 and IPv6)
3、 各种网络地址和端口转换,比如NAT或者NAPT(IPv4 and IPv6)
4、 灵活的和可扩展的基础设施
5、 用于第三方扩展的多层API
我能用iptables做什么?
1、 基于有状态或无状态包过滤来建立互联网防火墙
2、 部署高可用有状态或无状态集群
3、 使用NAT或者伪装来共享外网接口来代理内网上网
4、 使用NAT来实现透明的代理
5、 有助于TC和iproute2,用于构建复杂的QOS和策略路由
6、 数据包分组,比如修改IP报头的TOS/DSCP/ECN
我能从哪里获得最新版iptables

3、 2.4.X内核以后的Linux都自带iptables,不过不是最新版,这个要注意
4、
下载iptables
确认一下操作系统自带的iptables版本
iptables –V

Iptables概念表、链、策略
Iptables 和ip6tables命令用于在内核中设置、维护ipv4和ipv6包过滤,内置了几个不同的表,每个表又包括一到多个内置链或者用户定义的链,每个链都是一些规则的列表,每个规则来指定哪些包应该数据包的用途,这个被称为target。
策略结果解释
Iptables防火墙匹配的结果有3个,accept、drop、return,accept的意思是,允许数据包通过,而drop的意思是丢弃数据包,这些都好理解,我们来看看return,return 如果被触发,就会返回上一个链,如果是一个内置的链,将由target策略来决定去留。
表解释
Filter: 这个是默认表,包含了内置的链,分别为input、output、forward
Nat: 这个表主要对新建立的链接,关联了四个内置的链,分别为prerouting、input、output、postrouting
Mangle: 此表用于专门的包更改,内核到2.4.17后,它有两个内置的链,prerouting和output,2.4.18开始,它有了三个内置的链,input、forward、postrouting
Raw: 这个表主要用于和NOTRACK target相结合,它在netfileter中,在ip_conntrack之前以高优先级注册,它由两个内置的链提供prerouting、output
Security: 这个表用于MAC网络规则

东方瑞通成立于1998年,总部在北京,分别在上海、广州、天津、武汉、济南、深圳、成都、重庆、杭州和西安建立了直营分部,全国拥有超过40间专业培训教室、40多位专职讲师及180多位签约讲师;作为国内企业级IT高级技术&管理培训的领军机构,为数千家企业客户提供员工外派(公开课)和团体定制培训服务,累计培训专业人才数十万名。


您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|小黑屋|手机版|Archiver|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )

GMT+8, 2018-11-21 21:07 , Processed in 0.119016 second(s), 10 queries , Gzip On, Memcache On.

Powered by Discuz! X3.4

© 2001-2018 HH010.COM

快速回复 返回顶部 返回列表