iptables之精髓（一）

從邏輯上講。防火牆可以大體分為主機防火牆和網路防火牆。

主機防火牆：針對於單個主機進行防護。網路防火牆：往往處於網路入口或邊緣，針對於網路入口進行防護，服務於防火牆背後的本地區域網。

網路防火牆和主機防火牆並不衝突，可以理解為，網路防火牆主外（集體），主機防火牆主內（個人）。

從物理上講，防火牆可以分為硬體防火牆和軟體防火牆。

硬體防火牆：在硬體級別實現部分防火牆功能，另一部分功能基於軟體實現，效能高，成本高。軟體防火牆：應用軟體處理邏輯執行於通用硬體平台之上的防火牆，效能低，成本低。

iptables其實不是真正的防火牆，我們可以把它理解成乙個客戶端**，使用者通過iptables這個**，將使用者的安全設定執行到對應的"安全框架"中，這個"安全框架"才是真正的防火牆，這個框架的名字叫netfilter

netfilter才是防火牆真正的安全框架（framework），netfilter位於核心空間。

iptables為我們提供了如下"表"

filter表：負責過濾功能，防火牆；核心模組：iptables_filternat表： network address translation，網路位址轉換功能；核心模組：iptable_natmangle表：拆解報文，做出修改，並重新封裝的功能；iptable_mangleraw表：關閉nat表上啟用的連線追蹤機制；iptable_raw

prerouting的規則可以存在於：raw表，mangle表，nat表。

input的規則可以存在於：mangle表，filter表，（centos7中還有nat表，centos6中沒有）。

forward的規則可以存在於：mangle表，filter表。

output的規則可以存在於：raw表，mangle表，nat表，filter表。

postrouting的規則可以存在於：mangle表，nat表。

表（功能）鏈（鉤子）：

raw表中的規則可以被哪些鏈使用：prerouting，outputmangle表中的規則可以被哪些鏈使用：prerouting，input，forward，output，postroutingnat表中的規則可以被哪些鏈使用：prerouting，output，postrouting（centos7中還有input，centos6中沒有）

filter表中的規則可以被哪些鏈使用：input，forward，output

精簡圖：

詳細圖：

錶鏈關係圖：

處理動作在iptables中被稱為target（這樣說並不準確，我們暫且這樣稱呼），動作也可以分為基本動作和擴充套件動作。

accept：允許資料報通過。

drop：直接丟棄資料報，不給任何回應資訊，這時候客戶端會感覺自己的請求泥牛入海了，過了超時時間才會有反應。

reject：拒絕資料報通過，必要時會給資料傳送端乙個響應的資訊，客戶端剛請求就會收到拒絕的資訊。

snatmasquerade：是snat的一種特殊形式，適用於動態的、臨時會變的ip上。

dnatredirect：在本機做埠對映。

log

選擇表-t

指定表新增新規則

-a在鏈的最後追加一條規則

-i在鏈的開頭或指定序號插入一條規則

-x顯示精確值，不做單位換算

替換規則

-r替換一條指定的規則

檢視規則

-l列出所有規則

-n以資料形式顯示位址與埠資訊

-v以更加詳細的方式顯示

--line-numbers

檢視規則時，顯示規則序號

刪除或清空規則

-d刪除指定序號的一條規則

-f清空指定表中的所有規則

設定預設策略

-p為指定的鏈設定預設規則

新建規則鏈

-n新建自定義鏈

重新命名鏈

-e重新命名自定義鏈

刪除鏈-x

刪除自定義空鏈

-z計數器清零

iptables之精髓（一）

C C 指標精髓一

ARM指令之精髓DMB,DSB,ISB指令

ARM指令之精髓DMB,DSB,ISB指令

iptables之精髓（一）

C C 指標精髓 一

ARM指令之精髓DMB,DSB,ISB指令

ARM指令之精髓DMB,DSB,ISB指令

相關推薦

C C 指標精髓一