|
Iptables的5條鏈分別是:
PREROUTING 路由前 INPUT 發到本機某進程的報文 OUTPUT 本機某進程發出的報文 FORWARD 轉發 POSTROUTING 路由後
Iptables的4張表:
filter 負責過濾工程,防火牆 nat 網路位址轉譯功能 network address translate mangle 拆解報文,做出修改,並重新封裝 raw 關閉nat表上啟用的連接追蹤機制
鏈表關係
PREROUTING 的規則可存在於:nat表、mangle表、raw表 INPUT 的規則可存在於:mangle表、filter表(nat表centos6沒有,centos7有) FORWARD 的規則可存在於:mangle表、filter表 OUTPUT 的規則可存在於:raw表、mangle表、nat表、filter表 POSTROUTING 的規則可存在於:mangle表、nat表
實際操作我們用的更多的是錶鏈關係
錶鏈關係(表中的規則可被哪些鏈使用) raw :PREROUTING、OUTPUT mangle :PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING nat :PREROUTING、OUTPUT、POSTROUTING(INPUT鏈 centos7有,centos6沒有) filter :INPUT、FORWARD、OUTPUT 這個不用硬記,有方法的(iptables -t 表 -L) 當4張表出現在同一條鏈上的時候,優先順序別是:
raw—>mangle—->nat—>filter
4張表只可能同時間出現在OUTPUT鏈上。
| 
發表於 2019-9-27 15:37:53