Linux之 Iptables

1、画架构图

 

 

2、Iptables

1.1 什么是防火墙
	防止别人恶意访问。

1.2 防火墙种类
	硬件防火墙
		F5
	软件防火墙
		iptables
		firewalld
	安全组

　　

 

 

3.Iptables基本介绍

 

用户  --->  调用iptables  --->  ip_tables内核模块  --->  Netfilter（系统安全框架） --->  过滤请求

　　

4、 什么是包过滤防火墙

1、什么是包
	在数据传输过程，并不是一次性传输完成的；而是将数据分成若干个数据包，一点一点的传输。

2、 什么是包过滤防火墙
	过滤数据包的防火墙。

　　

 

 

5.Iptables链的概念

四表五链

1、那四个表，有哪些作用
    具备某种功能的集合叫做表。

    filter：  负责做过滤功能呢	：    	INPUT、OUTPUT、FORWARD
    nat：	 网络地址转换	      		PREROUTING、INPUT、OUTPUT、POSTROUTING
    mangle：	 负责修改数据包内容	      PREROUTING、INPUT、OUTPUT、POSTROUTING、FORWARD
    raw：	 负责数据包跟踪              	PREROUTING、OUTPUT

2、那五条链，运行在那些地方

    PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING

    1） PREROUTING: 主机外报文进入位置，允许的表mangle, nat（目标地址转换，把本机地址转换为真正的目标机地址，通常指响应报文）
    2） INPUT：报文进入本机用户空间位置，允许的表filter, mangle
    3） OUTPUT：报文从本机用户空间出去的位置，允许filter, mangle, nat
    4） FOWARD：报文经过路由并且发觉不是本机决定转发但还不知道从哪个网卡出去，允许filter, mangle
    5） POSTROUTING：报文经过路由被转发出去，允许mangle，nat（源地址转换，把原始地址转换为转发主机出口网卡地址）

    流入本机：PREROUTING  -->  INPUT  --> PROCESS(进程)
    经过本机：PREROUTING  --> FORWARD --> POSTROUTING
    从本机流出：PROCESS(进程) -->  OUTPUT --> POSTROUTING

　　

 

 

7、Iptables流程图

流入本机： A  --->  PREROUTING  --->  INPUT ---> B
流出本机：OUTPUT  --->  POSTROUTING  ---> B
经过本机： A ---> OUTPUT ---> POSTROUTING | ---> PREROUTING ---> FORWARD  ---> POSTROUTING ---> C ---> PREROUTING  ---> INPUT ---> B

filter :  INPUT 、OUTPUT 、FORWARD
nat : PREROUTING 、 OUTPUT、 POSTROUTING
raw : PREROUTING、 OUTPUT
mangle : PREROUTING INPUT FORWARD OUTPUT POSTROUTING