iptables/netfilter是Linux主机上的一个防火墙软件组合,其中iptables是一个防火墙规则定义软件,netfilter是内核中的一个功能(框架机制),负责所编写的规则的生效使用。
netfilter含有五个链,每个所有的报文都必须流经这五个链中的几个。五个链分别是:
| PREROUTING | 路由前,报文将要做路由分析之前流经的位置。 |
| POSTROUTING | 路由后,报文已经路由分析完毕并通过网卡发送流经的位置。 |
| INPUT | 数据报文进入用户空间流经的位置。 |
| OUTPUT | 数据报文流出用户空间流经的位置。 |
| FORWARD | 作为路由转发流经的位置。 |
netfilter基于不同功能的表提供各链的应用:
| raw表 | 如果开启了连接追踪,可以使用此表对某种连接不做追踪,支持的链: POSTROUTING链 OUTPUT链 |
| mangle表 | 可以对数据报文进行修改,支持的链: POSTROUTING链 PREROUTING链 OUTPUT链 INPUT链 FORWARD链 |
| nat表 | 做地址转换,支持的链: PREROUTING链 POSTROUTING链 OUTPUT链 |
| filter表 | 做过滤,支持的链: INPUT OUTPUT FORWARD |
netfilter
本文出自 “SystemCall社区” 博客,请务必保留此出处http://minux.blog.51cto.com/8994862/1728039
原文:http://minux.blog.51cto.com/8994862/1728039