- 涉及功能:conntrack、mangle、DNAT、filter
- 涉及功能:mangle、SNAT、conntrack
出口为dev_queue_xmit()(位于net/core/dev.c,Line1035),这个函数被高层协议的实例使用,以数据结构struct sk_buff *skb的形式在网络设备上发送数据报 。
iptablesiptables提供了管理员与netfilter的交互接口,iptables是按照规则来办事的,所谓规则其实就是网络管理员预定义的条件,规则一般的定义为”如果数据包头符合这样的条件,就这样处理这个数据包” 。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等 。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等 。配置防火墙的主要工作就是添加、修改和删除这些规则 。
四表五链iptables的规则组成,又被称为四表五链
5种默认规则链防火墙的作用就在于对经过的报文匹配”规则”,然后执行对应的”动作” 。所以,当报文经过这些关卡(HOOK—或者说是钓鱼台)的时候,则必须匹配这个关卡上的规则,但是,这个关卡上可能不止有一条规则,而是有很多条规则,当我们把这些规则串到一个链条上的时候,就形成了”链” 。所以,每个经过这个”关卡”的报文,都要将这条”链”上的所有规则匹配一遍(满足其中条规规则,则跳出这个规则链匹配,否则匹配到链上的最后一条规则),如果有符合条件的规则,则执行规则对应的动作 。
iptables涉及5种默认规则链,从应用时间点的角度理解这些链:
- INPUT链:当接收到防火墙本机地址的数据包(入站)时,应用此链中的规则 。
- OUTPUT链:当防火墙本机向外发送数据包(出站)时,应用此链中的规则 。
- FORWARD链:当接收到需要通过防火墙发送给其他地址的数据包(转发)时,应用此链中的规则 。
- PREROUTING链:在对数据包作路由选择之前,应用此链中的规则,如DNAT 。
- POSTROUTING链:在对数据包作路由选择之后,应用此链中的规则,如SNAT 。
- filter表
INPUT链:INPUT针对那些目的地是本地的包FORWARD链:FORWARD过滤所有不是本地产生的并且目的地不是本地(即本机只是负责转发)的包OUTPUT链:OUTPUT是用来过滤所有本地生成的包
推荐阅读
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- 企业管理软件erp系统推荐 移动协同办公系统软件有哪些
- 苹果手机被偷了关机了怎么办怎么定位(手机序列号查定位系统
- 《拳击俱乐部》全系统解析图文教程攻略 游戏介绍
- 讲解人脸识别道闸系统功能说明 人脸识别闸机系统原理
- 电表实时监控查询软件介绍 电力监控软件系统
- 投票系统制作 网上投票系统制作方法?
- linux操作系统的特点 linux系统有什么用处
- springcloud项目搭建 网站cms系统哪个好
- 评选系统 免费在线微信投票系统哪个好呢?
- 投票选举系统 怎么选择好的投票系统?