iptables 基本认识

转载：https://blog.csdn.net/qq_62311779/article/details/125224700

（1）基本认识：

1. iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则，iptables 默认维护着 4 个表和 5 个链，所有的防火墙策略规则都被分别写入这些表与链中。
2. 防火墙在做数据包过滤决定时，有一套遵循和组成的规则，这些规则存储在专用的数据包过滤表中，而这些表集成在 Linux 内核中。在数据包过滤表中，规则被分组放在我们所谓的链（chain）中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具，可用于添加、编辑和移除规则。
3. 虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体，但它实际上由两个组件netfilter 和 iptables 组成。
4. netfilter 组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。
5. iptables 组件是一种工具，也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本，否则需要下载该工具并安装使用它。

（2） 四表五链：

1、“四表”是指 iptables 的功能
——filter 表（过滤规则表）：控制数据包是否允许进出及转发
——nat 表（地址转换规则表）：控制数据包中地址转换
——mangle（修改数据标记位规则表）：修改数据包中的原数据
——raw（跟踪数据表规则表）：控制 nat 表中连接追踪机制的启用状况

2、“五链”是指内核中控制网络的 NetFilter 定义的 5 个规则链。每个规则表中包含 多个数据链，防火墙规则需要写入到这些具体的数据链中。
——INPUT（入站数据过滤） ：处理来自外部的数据
——OUTPUT（出站数据过滤）：处理向外发送的数据。
——FORWARD（转发数据过滤）：将数据转发到本机的其他网卡设备上。
——PREROUTING（路由前过滤） ：– 处理刚到达本机并在路由转发前的数据包。它会转换数据包中的目标IP地址（destination ip address），通常用于DNAT(destination NAT)。
——POSTROUTING（路由后过滤）： – 处理即将离开本机的数据包。它会转换数据包中的源IP地址（source ip address），通常用于SNAT（source NAT）。

3、 iptables的结构：
iptables -> Tables -> Chains -> Rules. tables由chains组成，而chains又由rules组成。