内建的表
iptables [-t table] command [match] [-j target/jump]
-t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,当未指定规
则表时,则一律视为是 filter。个规则表的功能如下:
-t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,当未指定规
则表时,则一律视为是 filter。个规则表的功能如下:
nat、mangle 和 filter,当未指定规则表时,则一律视为filter
nat 此规则表拥有 Prerouting 和 postrouting 两个规则链,主要功能为进行一对一、一对多、多对多等网址转译工作(SNATDNAT),由于转译工作的特性,需进行目的地网址转译的封包,就不需要进行来源网址转译,反之亦然,因此为了提升改写封包的率,在防火墙运作时,每个封包只会经过这个规则表一次。 如果我们把封包过滤的规则定义在这个数据表里,将会造成无法对同一包进行多次比对,因此这个规则表除了作网址转译外,请不要做其它用途。
mangle 此规则表拥有 Prerouting、FORWARD 和 postrouting 三个规则链。
除了进行网址转译工作会改写封包外,在某些特殊应用可能也必须去改写封包(TTL、TOS)或者是设定 MARK (将封包作记号, 以进行后续的过滤) , 这时就必须将这些工作定义在 mangle规则表中,由于使用率不高,我们不打算在这里讨论 mangle 的用法。
除了进行网址转译工作会改写封包外,在某些特殊应用可能也必须去改写封包(TTL、TOS)或者是设定 MARK (将封包作记号, 以进行后续的过滤) , 这时就必须将这些工作定义在 mangle规则表中,由于使用率不高,我们不打算在这里讨论 mangle 的用法。
filter 这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规则链,这个规则表顾名思义是用来进行封包过滤的理动作 (例如: DROP、LOG、ACCEPT 或 REJECT) ,我们会将基本规则都建立在此规则表中。
filter包含的三条链
INPUT 外部数据进入主机的关卡
OUTPUT 主机内的数据出去时的关卡
FORWARD 转发,NAT时用到
总结:
三个表,表有规则链
现在主要掌握表filter 和此表中的三条链 INPUT OUTPUT FORWARD
再掌握nat表和此表中的两条链Prerouting 和 postrouting
