iptables的應用

來源:互聯網
上載者:User

  摘要:本文介紹linux2.4.x核心中的防火牆工具--iptables的原理與配置,同時還給出了實際運用的例子,在文章的最後歸納了iptables與ipchains的區別。

  一、 概述

  從1.1核心開始,linux就已經具有包過慮功能了,在2.0的核心中我們採用ipfwadm來操作核心包過慮規則。之後在2.2核心中,採用了大家並不陌生的ipchains來控制核心包過慮規則。現在最新linux核心版本是2.4.1,在2.4核心中我們不再使用ipchains,而是採用一個全新的核心包過慮管理工具--iptables。 這個全新的核心包過慮工具將使使用者更易於理解其工作原理,更容易被使用,當然也將具有更為強大的功能。

  我們說過iptables只是一個管理核心包過慮的工具,iptables 可以加入、插入或刪除核心包過濾表格(鏈)中的規則。實際上真正來執行這些過慮規則的是netfilter(Linux 核心中一個通用架構)及其相關模組(如iptables模組和nat模組),下面我們一起來看看netfilter的工作原理。

  二、 原理

  netfilter是Linux 核心中一個通用架構,它提供了一系列的"表"(tables),每個表由若干"鏈"(chains)組成,而每條鏈中可以有一條或數條規則(rule)組成。我們可以這樣來理解,netfilter是表的容器,表是鏈的容器,而鏈又是規則的容器(如圖一所示)。

  系統預設的表為"filter",該表中包含了INPUT、FORWARD和OUTPUT 3個鏈。每一條鏈中可以有一條或數條規則,每一條規則都是這樣定義的“如果資料包頭符合這樣的條件,就這樣處理這個資料包”。當一個資料包到達一個鏈時,系統就會從第一條規則開始檢查,看是否符合該規則所定義的條件: 如果滿足,系統將根據該條規則所定義的方法處理該資料包;如果不滿足則繼續檢查下一條規則。最後,如果該資料包不符合該鏈中任一條規則的話,系統就會根據該鏈預先定義的策略(policy)來處理該資料包。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。