如果你什麼都不知道 關於IP表,我建議你 閱讀我們的第一篇 IPTABLES 介紹文章 為了在開始解釋 Linux 內核這個奇妙元素中的表的主題之前有一個基礎,以過濾並充當強大而高效的防火牆或防火牆。 安全性是人們越來越擔心的事情,但如果您是 Linux 用戶,那麼您很幸運,因為 Linux 實現了我們可以找到的對抗威脅的最佳工具之一。
您應該已經知道,IPTABLES 已集成到 Linux 內核本身中,並且是 netfilter 項目的一部分,該項目除了 iptables 之外還由 ip6tables、ebtables、arptables 和 ipset 組成。 與大多數 Linux 元素一樣,它是一個高度可配置且靈活的防火牆,儘管存在一些漏洞,但它仍然特別強大。 在內核內部,它與系統一起啟動並始終保持運行狀態,並且在內核級別,它將接收數據包,並且通過查閱 iptables 規則來接受或拒絕這些數據包。
表的三種類型:
梨 iptables 的工作得益於一系列表類型 這是本文的主題。
MANGLE 表
該 MANGLE 表 他們負責修改軟件包,為此他們有以下選項:
-
咳嗽: 服務類型用於定義數據包的服務類型,並且應用於定義數據包應如何路由,而不是用於定義發送到 Internet 的數據包。 大多數路由器都會忽略該字段的值,或者如果用於互聯網輸出,則可能會表現不完美。
-
TTL: 更改數據包的生存時間字段。 它的縮寫代表“生存時間”,例如,當我們不想被某些愛管閒事的互聯網服務提供商 (ISP) 發現時,可以使用它。
-
標記: 用於用特定值標記數據包,管理消除帶寬並通過 CBQ(基於類的隊列)生成隊列。 稍後它們可以被 iproute2 等程序識別,根據這些軟件包具有或不具有的品牌來執行不同的路由。
也許您在第一篇文章中聽起來並不熟悉這些選項,因為我們沒有觸及其中任何一個。
NAT 表:PREROUTING、POSTROUTING
該 NAT 表(網絡地址轉換),即網絡地址轉換,當數據包創建新連接時將被查詢。 它們允許在許多計算機之間共享公共 IP,這就是它們在 IPv4 協議中至關重要的原因。 通過它們,我們可以添加規則來修改數據包的IP地址,它們包含兩個規則:針對源地址的SNAT(IP偽裝)和針對目標地址的DNAT(端口轉發)。
至 進行修改, 給我們三個選擇 我們已經在第一篇 iptables 文章中看到了一些關於它們的內容:
- 預路由: 在包到達計算機後立即對其進行修改。
- OUTPUT: 用於本地生成且要路由輸出的數據包的輸出。
- 後佈線: 修改準備離開團隊的包。
過濾表:
該 過濾表 它們默認用於管理數據包。 它們是最常用的,負責由防火牆或過濾器配置的數據包過濾。 所有包都通過此表,並且為了進行修改,它具有我們在介紹性文章中也看到的三個預定義選項:
- 輸入: 對於進入來說,即所有註定要進入我們系統的數據包都必須經過這條鏈。
- OUTPUT: 對於輸出,所有由系統創建的包將把它留給另一個設備。
- 前鋒: 您可能已經知道,重定向只是將它們重定向到新的目的地,從而影響通過該鏈的所有數據包。
最後我想說的是,Linux系統中發送或接收的每個網絡數據包都必須服從這些表之一,至少其中一個或同時幾個。 此外,它還必須遵守多個表規則。 例如,使用 ACCEPT 則允許繼續前進,使用 DROP 則拒絕或不發送訪問,使用 REJECT 則簡單地丟棄它,而不向發送數據包的服務器或計算機發送錯誤。 如你所見, 每個表都有其目標或策略 對於上面提到的每個選項或鏈。 這些就是這裡提到的ACCEPT、DROP和REJECT,但是還有另一種像QUEUE,後者你可能不知道,用於處理從某個進程到達的數據包,無論它們的地址如何。
好吧,正如您所看到的,iptables 有點難以在一篇文章中深入解釋,我希望通過第一篇文章您將通過一些示例獲得使用 iptables 的基本概念,這裡還有一些更多的理論。 留下您的意見、疑問或貢獻,我們將受到歡迎.