标签:
hostile: [hastl]: 敌对的,敌意的: hostile army, hostile action hostile aircraft.
we lea the whole hostile army captive. [k2eptiv]: adj. 被监禁的...
--------------------------------------------------------
linux防火墙分成两大模块 : netfilters: 内核空间和iptables工具(用户空间). 是信息包的过滤工具.
iptables包含4个表,5个链。
其中表是按照对数据包的操作区分的,
链是按照不同的Hook点来区分的,表和链实际上是netfilter的两个维度。
共4个表, 优先级依次为 : filter(默认表) < nat< magnle< raw表.
filter: 为一般的过滤表
nat: 端口映射, 地址映射 (__ _ _ _ _ _ _ ____ _ 主要是这两个表对信息包的过滤作用).
mangle: 对特定数据包的修改
raw: 优先级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能
共5个链:
prerouting - Accept - Forward - output - postrouting.
5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。
PREROUTING:数据包进入本地的linux主机的 路由表之前
INPUT:通过路由表后目的地为本机
FORWARDING:通过路由表后,目的地不为本机
OUTPUT:由本机产生,向外转发
POSTROUTIONG:发送到网卡接口之前。如下图: ** 本地套接字, 就相当于本地的网卡 代理人.
iptables中表和链的对应关系如下:
标签:
原文地址:http://www.cnblogs.com/bkylee/p/5004860.html
