概況

Linux系統(tǒng)中,防火墻(Firewall),網(wǎng)址轉(zhuǎn)換(NAT),數(shù)據(jù)包(package)記錄,流量統(tǒng)計(jì),這些功能是由Netfilter子系統(tǒng)所提供

                       Netfilter
                          |
        Firewall         NAT        Package

Netfilter和iptables

Linux提供的所有包過(guò)濾和包修改設(shè)施的官方項(xiàng)目稱(chēng)為Netfilter；Netfilter是一個(gè)框架，用于在不同階段將函數(shù)hook進(jìn)網(wǎng)絡(luò)棧，iptables在它之上建立了防火墻功能；
同時(shí)，iptables還是同名的用戶(hù)層工具，將防火墻策略傳遞給內(nèi)核，表table、鏈chain、匹配match、目標(biāo)target只在iptables上下文中有意義。

iptables結(jié)構(gòu)和應(yīng)用場(chǎng)景

iptables鏈和表結(jié)構(gòu)

iptables數(shù)據(jù)包流程走向

以本地為目的地址的數(shù)據(jù)包
數(shù)據(jù)包經(jīng)過(guò)的表和鏈，按step順序：

本地為目的地址

以本地為源地址的數(shù)據(jù)包

本地為源地址

被轉(zhuǎn)發(fā)的數(shù)據(jù)包

被轉(zhuǎn)發(fā)的數(shù)據(jù)包

iptables應(yīng)用場(chǎng)景

iptables應(yīng)用場(chǎng)景

表
按處理優(yōu)先級(jí)：raw>mangle>nat>filter
鏈
iptables中filter表的INPUT/FORWARD/OUTPUT鏈，nat表的PREROUTING/POSTROUTING鏈

iptables數(shù)據(jù)流程

匹配
每個(gè)iptables規(guī)則都包含一組匹配以及一個(gè)目標(biāo)
--source（-s） 匹配源ip地址或網(wǎng)絡(luò)
--destination（-d） 匹配目標(biāo)ip地址或網(wǎng)絡(luò)
--protocol（-p） 匹配ip值
--in-interface(-i) 流入接口
--out-interface(-o) 流出接口
--state 匹配一組連接狀態(tài)
--string 匹配應(yīng)用層數(shù)據(jù)字節(jié)序列
--comment 注釋數(shù)據(jù)

目標(biāo)
ACCEPT 允許數(shù)據(jù)包通過(guò)
DROP 丟棄數(shù)據(jù)包
LOG 將數(shù)據(jù)包信息記錄到syslog
REJECT 拒絕數(shù)據(jù)包，丟棄
RETURN 在調(diào)用鏈中繼續(xù)處理數(shù)據(jù)包