Netfilter/iptables 简要分析
来源:互联网 发布:bbc有声双语新闻软件 编辑:程序博客网 时间:2024/04/30 16:45
1. Netfilter的命令结构
(1)filter 表的任务是执行数据包的过滤操作。即起到防火墙的作用。
(2)nat 表的功能是IP分享器。
(3)mangle 表的可以修改经过防火墙内的数据包的内容,也可以为特定的数据包来标示不同的识别码。
(4)raw 表能够加快数据包穿过防火墙机制的速度,提高防火墙的性能。
2.Netfilter的filter机制
(1)INPUT 链
当网络数据包的目的端是本机进程的时候,会进入INPUT 链中;
INPUT 链机制是为了保护本机进程而设计的。
(2)OUTPUT 链
当本机进程生成数据包往外发送的时候,进入OUTPUT 链。
(3)FORWARD 链
当网络数据穿过本机(如将本机作为网关)的时候,进入FORWARD 链。
3.Netfilter的NAT机制
(1)PREROUTING 链
PREROUTING 链的功能在于执行DNAT的任务,数据包一旦进入PREROUTING 链,数据包内的“Destination IP”就会被修改。
(2)POSTROUTING 链
POSTROUTING 链的功能在于执行SNAT的任务,执行SNAT操作的时候,“SourceIP”是在整个NAT机制的最末端才会被修改。
(3)OUTPUT 链
OUTPUT 链执行DNAT的任务,其对象就是本机进程产生并要外送的数据包。
4. Netfilter的mangle机制
mangle 表的这几个链和以上 filter 和 nat 表的介绍基本相同,只是实现功能上有些区别。
mangle 表能修改数据包内容,如TTL或者DSCP。(注意:如果想要改变本机进程所生成的数据包内的某些值,就必须将规则放置于OUTPUT链或者POSTROUTING链之中)
mangle 表为数据包做标识的功能,在带宽分配器,或者LTE隧道上经常能见到。
5. Netfilter的raw机制
(1)raw表只有两个链:
●PREROUTING链
若是网关式防火墙,则可用于处理防火墙两侧网络所建立的连接,也可处理任何主动连接到防火墙本机的连接
●OUTPUT链
用于处理本机对外建立的连接(如同NAT表)
(2)raw表作用:
raw表定义的连接会直接跳过nat_table和nf_conntrack模块的处理,从而加快数据包进出防火墙的速度。
6. Netfilter的完整结构
Netfilter完整结构众多链之中,相同名字但是各自独立的链执行的先后顺序是:raw表 -> mangle表 -> nat表 -> filter表
- Netfilter/iptables 简要分析
- iptables/netfilter分析和相关链接整理
- Linux--netfilter/iptables+squid综合案例分析
- iptables/netfilter分析和相关链接整理
- Linux下Netfilter/IPtables防火墙案例分析
- netfilter & iptables
- iptables、netfilter
- Linux-Netfilter&iptables实现机制的分析及应用
- Linux-Netfilter&iptables实现机制的分析及应用
- linux netfilter/iptables 架构分析及nelink的使用
- 洞悉linux下的Netfilter&iptables:内核中的ip_tables分析
- netfilter/iptables 简介
- Iptables和Netfilter
- netfilter/iptables 小结
- netfilter/iptables 简介
- netfilter/iptables配置入门
- netfilter/iptables 简介
- Linux NetFilter/iptables 简介
- 《数据结构与算法分析》第十二章,AA-树,Treap树简要介绍与实现
- iOS中的消息循环
- Apache2.2配置虚拟主机
- 在ubuntu 15.04下安装VMware Tools
- NOIP 2014 解方程 Hash Hash Hash
- Netfilter/iptables 简要分析
- hdu1789 Doing Homework again (贪心+优先队列)
- 数据行业从业者到底能挣多少钱?
- 减小数组
- EditText属性
- VC程序运行时导出资源、DLL、EXE
- 海量数据挖掘MMDS week3:流算法Stream Algorithms
- TIME_WAIT是什么?
- MyBatis的foreach语句详解