本文主要是介绍iptables的四表五链与NAT工作原理,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
本文主要介绍了iptables的基本工作原理和四表五链等基本概念以及NAT的工作原理。
1、iptables简介
我们先来看一下netfilter官网对iptables的描述:
iptables is the userspace command line program used to configure the Linux 2.4.x and later packet filtering ruleset. It is targeted towards system administrators.
Since Network Address Translation is also configured from the packet filter ruleset, iptables is used for this, too.
The iptables package also includes ip6tables. ip6tables is used for configuring the IPv6 packet filter.
也就是说iptables实际上只是位于用户空间的一个面向系统管理员的Linux防火墙的管理工具而已,而真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内核模块,iptables对应在内核中的模块应该是ip_tables,我们查看系统内核中ip_tables的信息的时候可以看到ip_tables.ko这个模块是在netfilter这个目录下的。
实际上除了iptables还有如nftables、firewalld等防火墙工具都是在用户空间(用户层)对相应的内核空间中对应的netfilter相关的模块进行操作的工具。
2、iptables的四表五链
2.1 iptables流程图
首先我们来看一下下面的这张图了解一下iptables中的表和链的概念。图中使用箭头展示了用户访问使用了iptables的机器的过程,其中按照箭头的顺序我们就可以将其梳理为一条大的带有分支的链条,在每个需要进行操作的模块处都标有名称和相应的括号,括号内的就是iptables的四表,而每个模块都可以视为一个链。
CentOS7中的input链中还有nat表,但是在CentOS6中并没有。
之所以叫做链就是因为在访问该链的时候会按照每个链对应的表依次进行查询匹配执行的操作,如PREROUTING链对应的就是(raw->mangle->nat),每个表按照优先级顺序进行连接,每个表中还可能有多个规则,因此最后看起来就像链一样,因此称为链。而iptables的表中存储的就是对应的规则和需要执行的操作,这里以路由器为例查看其中iptables的filter表:
这篇关于iptables的四表五链与NAT工作原理的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
