iptables -I 和 -A的区别
首先都是对链添加规则 -A参数是将规则写到现有链规则的最后
-I参数默认是将一条规则添加到现有规则链的最前面当然也可以指定插入到第几行 行数可以用数字来指定 比如说将一条规则添加到某一条链的第三行
那么原来在第三行的规则就会降到下一行第四行.
netfilter/iptables IP
信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在
Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。
虽然 netfilter/iptables IP
信息包过滤系统被称为单个实体,但它实际上由两个组件 netfilter 和 iptables 组成。
netfilter
组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
iptables
组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。
iptables包含4个表,5个链。其中表是按照对数据包的操作区分的,链是按照不同的Hook点来区分的,表和链实际上是netfilter的两个维度。
4个表:filter,nat,mangle,raw,默认表是filter(没有指定表的时候就是filter表)。表的处理优先级:raw>mangle>nat>filter。
filter:一般的过滤功能
nat:用于nat功能(端口映射,地址映射等)
mangle:用于对特定数据包的修改
raw:有限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能
5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。
PREROUTING:数据包进入路由表之前
INPUT:通过路由表后目的地为本机
FORWARDING:通过路由表后,目的地不为本机
OUTPUT:由本机产生,向外转发
POSTROUTIONG:发送到网卡接口之前。如下图:
三表五链
nat,filter
input,output,forward,prerouting,postrouting
iptables
-L -n
iptables -t nat -L
相关文章
- 02-12学习使用windows下类似iptables的防火墙软件
- 02-12Vmware Workstation 8.0.6&Redhat Enterprise Linux 6.4下安装yum工具及g++ 4.4.7
- 02-12Linux下的暴力密码在线破解工具Hydra安装及其组件安装-使用
- 02-12linux下多线程下载工具axel的编译安装
- 02-12linux命令行下快速进入任意目录工具 fastcd
- 02-12linux下安装微信小程序开发工具
- 02-12在Linux系统下运行微信Web开发者工具
- 02-12在iptables防火墙下开启vsftpd的端口
- 02-12Linux中的防火墙netfilter iptables 简介(有本事你别回来,没本事。)
- 02-12Linux下简单好用的工具rinetd,实现端口映射/转发/重定向