以下是具有双卡的Linux服务器,数据入口卡为eth0,数据导出网卡为eth1;
另一方面,Linux**防火墙**的工作区域是下图的绿色阴影部分。 (防火墙的概念在这里不说明。 )
防火墙功能在Linux系统中的两大作用是iptables和netfilter。 iptables是Linux系统中内置APP应用层的控制防火墙的工具,netfilter是防火墙功能的具体实现,是内核空间的功能模块。 iptables“控制”防火墙是指用户使用iptables在内核的netfilter功能模块中设置防火墙规则。 其中包括“四表五链”。
“四表五链”其实是对用户设定规则的管理,如果你看到用户设定的规则,两个维度例,图中深蓝色箭头的数据流,为了数据包到达用户层,http://wwwPREROUTING)输入链),该链接存储用户设置的规则,根据功能不同,分组存储在3358wwwwww中的分组为PREROUTING netfilter程序从原始表、管理表和NAT表中依次检索PREROUTING链的用户规则,并执行相应的操作。 同样,INPUT链上的规则也分组存储在Mangle表和Filter表中,netfilter程序从这两个表中依次检索为INPUT链设置的用户规则并执行相应的操作。INPUT链
其他链条也一样。
这里必须强调的是RAW链,Mangle链。 也就是说,在网络层发现没有向本机发送数据包时,在作为从其他网络层转发数据包的功能的中途经过前向链,前向链上的规则根据过滤器表、管理表而不同因此,在单卡系统中,需要对上图进行如下修改。
综上所述,Linux根据NAT和(特别强调,转发的数据包不经过 OUTPUT 链)对用户规则进行分组,“四表”表示功能上一致的规则,“五链”表示数据包所在位置
这四个表分别存储了哪些功能规则? 分为以下几类。
过滤器表:过滤包
NAT表:用于网络地址转换(IP、端口)
Mangle表:允许您更改包的服务类型、TTL和配置路由以实现QOS
Raw表:确定数据包是否由状态跟踪机制处理
五条链分别存储什么样的链接的规则? 分为以下几类。
从INPUT链——传入的包将应用此规则链中的规则
OUTPUT链——外出的包适用此规则链的规则
转发链——转发包时,应用此规则链中的规则
PREROUTING链——在路由包之前应用此链中的规则
销售链——在路由包后应用该链的规则
最后附上另一张“四表五链”的图。 这张图来自网络,相当典型。