iptables 高性价比的防火墙

Linux中建立在内核上的防火墙iptables
在网络***方式和技术日益增多的21世纪,服务器的安全性逐渐显得尤为重要,在主机防护层面相比昂贵的硬件防火墙设备,iptables是一种性价比很高的包过滤型软件防火墙,无需昂贵的费用,只需消耗一定的服务器计算资源。

iptables的基本概念


Netfilter:
iptables是建立在内核上的防火墙,而NetfilterLinux内核的一个数据处理模块。
而iptables就相当于在用户空间对于Netfilter的一个调用接口。
Hook point:
iptables既然作为一种防护墙,对于那些不坏好意的不明访问,自然需要一些“守门神”来值班站岗,将不怀好意的家伙统统挡在门外或者让他们缴械投降,
而hook point就起到这个作用,说的专业一点hook point就是数据报文在Netfilter中的挂载点(这么说显得逼格高一些),如上图中所示一个数据报文在经过Netfilter的调用接口iptables进入内核空间后只有通过hook point的审查后才能获准进入网络层从而交给相应的应用服务。

iptables的“四表”和“五链”

hook point作为数据报文在Netfilter中的挂载点,共有五个类型分别是:

  • PREROUTING
  • INPUT
  • OUTPUT
  • FORWARD

  • POSTROUTING

    这五个挂载点又称为iptables的规则链
    既然防火墙对于外来***者有了“守门神”那么作为守门神的hook point应该遵循什么样的守门规则呢,iptables的“四表”就是建立在五条规则链上的四种“规则”类别。

    iptables的四张表及其作用分别是:
    filter:访问控制、规则匹配
    net:网络地址转换(IP地址和端口转换)
    mangle:拆解数据报文,做出修改,并且重新封装报文
    raw:关闭net表上启用的连接追踪机制。

数据报文在iptables中的流转过程

        既然一个数据报文在进入网络层前需要经过hook point的层层“审查”,那么审查的先后次序又是怎样的呢?

        注:图中destination=localhost? 指的是一个数据报文中流经iptables时的路由选择阶段。由图中可以看出中iptables的五条规则链中,每条链可以同时存在多张表,那么一个数据报文,中流经一个规则链时,要先进入那张表呢?iptables四张表的生效优先级是:raw---->manger--->nat--->filter*****   版权声明:本博客资料及图片,来源于网络及马哥教育和慕课网,相关版权归原作者所有。*****

转载于:https://blog.51cto.com/3037673/2070585

iptables的基本概念及数据报文在iptables中的流传过程相关推荐

  1. iptables防火墙基本概念及数据流程和docker防火墙配置实例

    防火墙相关概念 从逻辑上讲,防火墙可以大体分为主机防火墙和网络防火墙. 主机防火墙:针对于单个主机进行防护. 网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网. ...

  2. 数据包在网络中的传输过程详解

    我们当今使用电子设备都离不开网络,通过网络我们可以聊天.玩游戏.看电影都操作. 网络的本质就是交换数据. 本文我们就来看下数据是如何在网络中传输的. 计算机网络模型 现在有两种计算机网络模型,分别为O ...

  3. 简述数据在OSI参考模型中的流动过程及过程中数据的单位

    关于数据在网络中的传输,为了简单易懂一点,我们举例说明. 假设A向B发送了一封电子邮件,电子邮件协议有SMTP.POP3等. 因此主机A会使用smtp协议来处理该数据,即在数据前加上SMTP的标记,以 ...

  4. Vuex 之二:3种拿到 state 中数据并执行 getters 中方法的过程与实例剖析

    Ⅰ.Vuex 简介: 1.Vuex 是什么? 答:Vuex 是一个专为 Vue.js 应用程序开发的状态管理模式: 而所谓状态就是指:组件中所维护的数据); (简而言之:就是状态管理,解决复杂组件数据 ...

  5. IP数据包在网络中的传输过程

    1. 获取目的IP 2. 判断源IP与目的IP是否在同一网段   -->   比较 IP & Genmask 是否相同 2.1 若在同一网段,则先查询arp缓存中是否有目的ip的mac地 ...

  6. TCP_数据报文首部格式

    TCP报文首部格式 字段 说明 源/目标端口 分别写入源端口号和目标端口号 序列号 也就是我们tcp三次握手中的seq,表示的是我们tcp数据段发送的第一个字节的序号,范围[0,2^32 - 1],例 ...

  7. DPI — 深度数据报文解析

    目录 文章目录 目录 运营商为什么需要 DPI? DPI DPI 的功能需求 DPI 的应用场景 ISP 使用 DPI 来分离网络流量 企业使用 DPI 来管理网络性能和安全 运营商使用 DPI 来统 ...

  8. Linux数据报文接收发送总结3

    1.3 协议分层 大概了解了网卡驱动.硬中断.软中断和ksoftirqd线程之后,我们在这几个概念的基础上给出一个内核收包的路径示意: 当网卡上收到数据以后,Linux中第一个工作的模块是网络驱动.网 ...

  9. Linux数据报文接收发送总结1

    0. 引 如下简单的一段在代码,我们在Linux上运行:同时再运行一服务端的回显: #include <stdio.h> #include <sys/types.h> #inc ...

最新文章

  1. 将SQL文件导入Hive
  2. AJAX(XMLHttpRequest)进行跨域请求方法详解(三)
  3. servlet 验证生命周期过程调用方法的次数
  4. Javascript ES6 Promise异步链式读取文件解决回调地狱
  5. P1018 乘积最大(高精度加/乘)
  6. 华为p10应用市场无法连接服务器,华为p10如何连接电脑及没反应怎么解决【图文教程】...
  7. c语言上机+pdf,c语言上机题库.pdf
  8. 一、信号处理 ——3.维纳滤波(含matlab代码)
  9. 测试创新——用户体验测试(UAT)
  10. 夜来风雨声,“网络应用层”知多少?
  11. 三天学会MySQL - MySQL数据库章节练习
  12. python pandas csv 写文件_Pandas读写CSV文件的方法介绍(附代码)
  13. owasp_我的Google夏天的owasp 2020代码之旅
  14. VUE弹窗加载另一个VUE页面
  15. fast无线路由器设置服务器,Fast迅捷无线路由器端口映射设置方法 | 192路由网
  16. 【功防世界】base64stego
  17. 唯美云海高清动态壁纸分享
  18. 【Macbook 软件分享|使用技巧】干货
  19. 【读点论文】FaceNet: A Unified Embedding for Face Recognition and Clustering 人脸向量映射到一个特定空间后成为一种集成系统
  20. 查看Windows版本信息

热门文章

  1. java6 3_那些年,一起学的Java 6-3
  2. java二分查找算法字符串数组_Java 算法——二分查找数组集合关键元素
  3. 宝塔如何备份网站_宝塔备份网站怎样还原_服务器备份数据恢复教程
  4. 跑分软件测试的游戏是,主流软件跑分测试 日常游戏无压力
  5. UART协议概述与实现
  6. mysql 调用存储过程 inout_MySQL存储过程in、out和inout参数示例和总结
  7. ios php 聊天_解析php做推送服务端实现ios消息推送
  8. es5中数组方法unshift、splice、reduce使用
  9. win10桌面搜索不能用的问题
  10. combobox总结