iptables是一套LINUX下免费的包过滤防火墙,能够进行包过滤,包重定向,地址转换等功能,能够替代部分商业防火墙。其实不少所谓的硬件防火墙也就是一个linux核心+相似的程序作出来的。有人说iptables作出来的防火墙能够替代十万之内的硬件防火墙。
iptables最核心的内容是表,一共有三张表:filter、nat、mangle。
filter:过滤数据包,容许接受或者丢弃数据包。
nat:数据包的地址转换,容许修改数据包的源和目标地址、端口等。
mangle:此表通常利用很少,暂时不说
iptables第二核心的内容是链,其实就是每一个表里的进口、中转、出口的位置,咱们所写的防火墙规则就是针对这些位置的。
filter:包括INPUT、OUTPUT链,这两个链针对到iptables所在服务器的包进行过滤。
nat:包括PREROUTING、FORWARD、POSTROUTING链
下面我以一个包从进入服务器到出服务器的流程,作一下表和链的功能:
假设服务器有两块网卡eth0和eth1,如今一个数据包从eth0进入前往eth1
假设服务器有两块网卡eth0和eth1,如今一个数据包从eth0进入前往eth1
能够看到在PREROUTING链处进行了判断是本地包仍是外地包,本地的进入filter表过滤,外地的进入nat表转换。 iptables的全部功能实现彻底基于上图所示,其实高深的技术看透本质,也是很简单的。