Chinaunix首页 | 论坛 | 博客
  • 博客访问: 13556
  • 博文数量: 1
  • 博客积分: 50
  • 博客等级: 民兵
  • 技术积分: 20
  • 用 户 组: 普通用户
  • 注册时间: 2007-10-31 13:55
文章分类
文章存档

2012年(1)

我的朋友
最近访客

分类: 网络与安全

2012-03-21 10:29:16

第一章:工作原理
  • Netfilter与iptables关系(netfilter参见:)

       Netfilter是linux内核实现的一个框架

       iptables是netfilter实现的一个工具

  • iptables的几个概念
table(表) 存放在netfilter中
chain(链) 存放在table中
rule(规则) 存放在chain中
  • table的几种类型
filter表 主要用于处理进入、离开、本机转发的包
nat表 主要用户修改目的地址和源地址
mangle表 对指定的包做修改,例如TTL、TOS等
  • chain的几种类型

PREROUTING 存在于nat表中,主要用来修改目的地址
INPUT链 存在于filter表中,用来处理进入本机的封包
FORWARD链 存在于filter表中,用来处理转发的封包
OUTPUT链 存在于filter表中,用来处理离开本机的封包
POSTROUTING 存在nat表中,主要用来修改源地址
  • 几种表和链的关系图

Table Chain Action description
filter input
output
forward
accept
drop
reject
log
tos
包过滤
nat prerouting
postrouting
output
snat
masquerade
dnat
redirect
IP NAT和伪装
mangle prerouting
postrouting
output
input
forward
ttl
tos
mark
包修正
  • 几种nat的区别

NAT function
SNAT 转换源地址,多在包离开时候
DNAT 转换目的地址,躲在包进入时候
MASQUERADE 转化源地址为某个接口,不明确指定ip地址

第二章:iptables配置

  • iptables语法

iptables [-t table] command [match] [target/jump]

  • -t table
-t table == --table table
table parameter: specifies the packet matching which table while operated on
Table Function
filter This is the default table
contains the built-in chains INPUT、FORWARD、OUTPUT
nat when a packet that creates a new connection is encountered
PREROUTING、OUTPUT、POSTROUTING
mangle This table is used for specialized packed alterarion
PREROUTING、OUTPUT、INPUT、FORWARD、POSTROUTING
raw This table is used mainly for configuring exemptions from connection tracking
PREROUTING、OUTPUT















阅读(2036) | 评论(0) | 转发(0) |
0

上一篇:没有了

下一篇:没有了

给主人留下些什么吧!~~