iptables（1）基礎概念

#iptables（1）：基礎概念

##1.防火牆相關概念

###1.1分類

邏輯上主機防火牆網路防火牆（前者針對單個主機進行防護，後者位於網路入口或邊緣，針對網路入口進行防護，服務於防火牆背後的本地區域網）

物理上硬體防火牆軟體防火牆

##2.iptables理解

所以說，雖然我們使用service iptables start啟動iptables 服務，但是準確的說，iptables並沒有乙個守護程序，若依並不能算是真正意義上的服務，而應該算是核心提供的功能。

##3.iptables基礎

**iptables是按規則辦事，而規則儲存在核心空間的資訊包過濾表中。**這些規則分別指定了源位址、目的位址、傳輸協議和服務型別等。當資料報與規則匹配時，iptables就根據規則所定義的方法來處理這些資料報，accept（接受）、reject（拒絕）、丟棄（drop）

**牆需要設定「關卡」，也就是「鏈」。**比如input output forward prerouting postrouting。當我們用了防火牆功能後，報文根據實際情況的不同就要通過不同的鏈。

##4.鏈的概念

防火牆的作用就在於對經過的報文匹配「規則」，然後執行相應的動作，所以，當報文經過這些關卡時，則必須匹配這個關卡上的規則，但是，這個關卡上可能不止有一條規則，而是有很多條規則。而一條條規則串起來就是鏈

##5.表的概念

我們把具有相同功能的規則的集合叫做「表」，不同功能的規則，我們可以放置在不同的表中進行管理，而iptables已經為我們定義了4種表，每個表對應了不同的功能。

##6.錶鏈關係

某些鏈注定不會包含某類規則

比如 prerouting鏈只擁有nat、raw、mangle表中的規則

prerouting 的規則可以存在於：nat、raw、mangle 表中

input 的規則可以存在於：mangle、filter表中（centos7還有nat表）

forward 的規則可以存在於：mangle 、filter表中

output ：raw、mangle、nat、filter表中國

postrouting 的規則可以存在於：mangle表，nat表

表（功能）<————>鏈（鉤子）

raw 表中的規則可以被：prerouting output鏈使用

mangle表中的規則可以被：prerouting input forward postrouting output鏈使用

nat表中的規則可以被：prerouting output postrouting使用（centos7還有inout）

filter表中的規則可以被：input forward output使用

##7.規則的概念

規則：根據指定的匹配條件來嘗試匹配某個經流此處的報文，一旦匹配成功，則由規則後面指定的處理動作進行處理。

處理動作

##總結

也就是說規則是在鏈上的，一條鏈可能會有多條規則。相同功能的規則可放在乙個表中。鍊錶關係是某些表中的規則沒辦法被鏈使用，也就是說某些鏈無法呼叫核心的相應模組。一般來講，是通過「表「作為操作入口來對規則進行定義的

iptables（1） 基礎概念