13518219792
有次序的規(guī)則形成鏈 chain,
鏈的集合形成表 table.
專注于為中小企業(yè)提供成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)瓦房店免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才,有力地推動(dòng)了上千余家企業(yè)的穩(wěn)健成長,幫助中小企業(yè)通過網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。
默認(rèn)的iptables表名叫"filter(過濾器)",包含3個(gè)默認(rèn)鏈。
對(duì)于每個(gè)包來說,內(nèi)核都會(huì)選擇三個(gè)鏈中適合的一個(gè)進(jìn)行處理:
. FORWARD鏈規(guī)則, 用于從一個(gè)網(wǎng)絡(luò)接口輸入,再轉(zhuǎn)發(fā)到另一個(gè)網(wǎng)絡(luò)接口輸出的包;
. INPUT鏈規(guī)則, 用于以本機(jī)為目的地的包;
. OUTPUT鏈規(guī)則, 用于從本地主機(jī)發(fā)出的包;
除了filter表之外,iptables還包含"NAT"和"mangle"表。
. mangle表包含了鏈可以修改或者改變?cè)贜AT和包過濾之外的網(wǎng)絡(luò)包的內(nèi)容。
雖然mangle表對(duì)于做包的特殊處理很方便,比如重新設(shè)定IP包的ttl值,但是在大多數(shù)工作環(huán)境中一般不會(huì)用到它。
三個(gè)規(guī)則表的功能如下:
nat:此規(guī)則表擁有PREROUTING 和POSTROUTING 兩個(gè)規(guī)則鏈,
主要功能為進(jìn)行一對(duì)一、一對(duì)多、多對(duì)多等網(wǎng)址轉(zhuǎn)換工作(SNAT、DNAT),
這個(gè)規(guī)則表除了作網(wǎng)址轉(zhuǎn)換外,請(qǐng)不要做其它用途。
mangle:此規(guī)則表擁有PREROUTING、FORWARD 和POSTROUTING 三個(gè)規(guī)則鏈。
除了進(jìn)行網(wǎng)址轉(zhuǎn)換工作會(huì)改寫封包外,在某些特殊應(yīng)用可能也必須去改寫封包(TTL、TOS)
或者是設(shè)定MARK(將封包作記號(hào),以進(jìn)行后續(xù)的過濾),這時(shí)就必須將這些工作定義在mangle 規(guī)則表中;
由于使用率不高,我們不打算在這里討論mangle 的用法。
filter: 這個(gè)規(guī)則表是默認(rèn)規(guī)則表,擁有INPUT、FORWARD 和OUTPUT 三個(gè)規(guī)則鏈,
這個(gè)規(guī)則表顧名思義是用來進(jìn)行封包過濾的處理動(dòng)作(例如:DROP、LOG、ACCEPT 或REJECT),
我們會(huì)將基本規(guī)則都建立在此規(guī)則表中。
參考: http://blog.chinaunix.net/uid-26000296-id-4111127.html
