- nat表
PREROUTING链:作用是在包刚刚到达防火墙时改变它的目的地址OUTPUT链:改变本地产生的包的目的地址POSTROUTING链:在包就要离开防火墙之前改变其源地址- mangle表
- raw表
iptables中数据包和4种被跟踪连接的4种不同状态:
- NEW:该包想要开始一个连接(重新连接或将连接重定向)
- RELATED:该包是属于某个已经建立的连接所建立的新连接 。例如:FTP的数据传输连接就是控制连接所 RELATED出来的连接 。–icmp-type 0 ( ping 应答) 就是–icmp-type 8 (ping 请求)所RELATED出来的 。
- ESTABLISHED :只要发送并接到应答,一个数据连接从NEW变为ESTABLISHED,而且该状态会继续匹配这个连接的后续数据包 。
- INVALID:数据包不能被识别属于哪个连接或没有任何状态比如内存溢出,收到不知属于哪个连接的ICMP错误信息,一般应该DROP这个状态的任何数据 。
- PREROUTING 的规则可以存在于:raw表,mangle表,nat表 。
- INPUT 的规则可以存在于:mangle表,filter表,(centos7中还有nat表,centos6中没有) 。
- FORWARD 的规则可以存在于:mangle表,filter表 。
- OUTPUT 的规则可以存在于:raw表mangle表,nat表,filter表 。
- POSTROUTING 的规则可以存在于:mangle表,nat表 。
匹配条件分为基本匹配条件与扩展匹配条件
基本匹配条件:
源地址Source IP,目标地址 Destination IP
扩展匹配条件:
除了上述的条件可以用于匹配,还有很多其他的条件可以用于匹配,这些条件泛称为扩展条件,这些扩展条件其实也是netfilter中的一部分,只是以模块的形式存在,如果想要使用这些条件,则需要依赖对应的扩展模块 。
源端口Source Port, 目标端口Destination Port
处理动作
处理动作在iptables中被称为target(这样说并不准确,我们暂且这样称呼),动作也可以分为基本动作和扩展动作 。
此处列出一些常用的动作,之后的文章会对它们进行详细的示例与总结:
o ACCEPT:允许数据包通过 。o DROP:直接丢弃数据包,不给任何回应信息,这时候客户端会感觉自己的请求泥牛入海了,过了超时时间才会有反应 。o REJECT:拒绝数据包通过,必要时会给数据发送端一个响应的信息,客户端刚请求就会收到拒绝的信息 。o SNAT:源地址转换,解决内网用户用同一个公网地址上网的问题 。o MASQUERADE:是SNAT的一种特殊形式,适用于动态的、临时会变的ip上 。o DNAT:目标地址转换 。o REDIRECT:在本机做端口映射 。o LOG:在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则,也就是说除了记录以外不对数据包做任何其他操作,仍然让下一条规则去匹配 。
推荐阅读
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- 企业管理软件erp系统推荐 移动协同办公系统软件有哪些
- 苹果手机被偷了关机了怎么办怎么定位(手机序列号查定位系统
- 《拳击俱乐部》全系统解析图文教程攻略 游戏介绍
- 讲解人脸识别道闸系统功能说明 人脸识别闸机系统原理
- 电表实时监控查询软件介绍 电力监控软件系统
- 投票系统制作 网上投票系统制作方法?
- linux操作系统的特点 linux系统有什么用处
- springcloud项目搭建 网站cms系统哪个好
- 评选系统 免费在线微信投票系统哪个好呢?
- 投票选举系统 怎么选择好的投票系统?