IPtables之一：基本概念介绍

cheng029

防火墙按照实现方法可以分为软件防火墙和硬件防火墙
纯硬件防火墙是很少的，一般见到的防火墙设备都是依靠软件搭配实现

按照功能可以将防火墙分为包过滤防火墙和网关代理型防火墙
包过滤防火墙
工作在网络层和传输层。特点：效率高，安全性不及网关型防火墙
包过滤防火墙又可以分为“状态检测型”和“简单包过滤型”
网关代理型
工作于应用层，位于OSI的最高层。特点：效率低，安全性好

而在linux中，iptables是一款自带的防火墙软件，基于内核实现网络流量的过滤
针对数据包的IP地址，端口，标志位，连接状态定义相应的防火墙规则，匹配规则后用指定的处理机制进行处理，可以是允许，可以是丢弃

首先简单介绍一下一个数据包进入linux后是如何处理的

数据包从网卡1进入linux主机后，首先进入内核维护的网络内存空间队列。内核接手数据包后，会进行一系列的流水线处理

内核的TCP/IP协议栈解封IP头部后，先是检测数据包的目的IP，然后对比路由表
如果目标IP是指向自己，于是检测TCP首部，将数据包递交给处于内核空间和用户空间的套接字（即端口），让用户空间的程序进行处理。用户程序从套接字取出数据后，进行处理后，改写目标IP和源IP，从新递交给对应的套接字。然后TCP/I协议栈进行数据包的封装，原路返回
如果目标IP不是自己，对比路由表，如果是将要从网卡2发送出去的。TCP/IP协议栈就直接将数据从内存中取出，交由网卡2发送出去，这一切将都在内核空间完成，无需进入用户空间
IPtables分为2部分，一部分位于内核中，用来存放规则，称为NetFilter。还有一段在用户空间中，用来定义规则，并将规则传递到内核中，这段在用户空间中的程序就叫做iptables。
其中存放规则有5个地方，分别位于 1、2、3、4、5 这5个点
1是由内部主动发往外部的规则，2是由外部发往内部的规则，3是不进入用户空间，进行路由转发的规则，4是数据进来，还未查询路由表之前的规则，5是查询完路由表，将要出去的规则
在这5个点都可以定义不同的规则，用以实现处理不同流向的数据包
这5个过滤点，在内核中也叫做hook function（钩子函数）
而这5个钩子，也有着个自的名字
1：input 2：output 3：forward 4：prerouting 5：postrouting
对于4和5，主要是为了实现NAT功能
真正做数据过滤的地方在123这3个点
具体数据的流向


在这张图中，raw用的比较少不多做介绍，而mangle主要用以数据包的的修改。在处理数据包时，优先级依次以mangle、nat、filter排序

在iptables中，以链为单位定义一组规则，对于不同功能的链又组成不同的表

链也可以自定义创建，但不会直接生效，需要在默认的链中建立规则跳转，可以将数据包的匹配检查跳转到自定义创建的链中。如果在自定义创建的链中匹配到，就直接进行处理，如果匹配不到，就跳转会默认的链中

由于这一切都是在内核中完成的，所以在用户空间中的iptables传递规则给netfliter后，并不会永久有效，在重启后规则就会丢失，于是可以将规则写成脚本，在每次启动系统时将规则传递给内核

而redhat则使用另外一种机制来应用规则和取消规则，具体的实现方法，下篇博文再细细介绍


该贴已经同步到 admin的微博

狐狸情

不知该说些什么。。。。。。就是谢谢

娇w兴

关羽五绺长髯，风度翩翩，手提青龙偃月刀，江湖人送绰号——刀郎。

rule

有事秘书干，没事干秘书!

wstlwl

我是来刷分的，嘿嘿

llcong

避孕的效果：不成功，便成“人”。

dyok

如果恐龙是人，那人是什么？