iptables复习

包含和被包含的关系
iptables是表的容器
表是链的容器,每个表中都包含若干个链
链是规则的容器,真正过滤规则是属于链里边的

filter表
真正的防火墙功能
包含的链:input forward output
和主机自身有关,iptables默认的表
企业工作场景:主机防火墙

nat表
地址转换,即来源和目的ip地址和port的转换
包含:output prerouting postrouting
一般用于局域网共享上网或者特殊的端口和ip的转换有关
工作场景:
企业路由或网关,共享上网(postrouting)
一对一的地址映射 DMZ (prerouting)
端口映射,例如:映射80端口(prerouting)

nat功能相当于网络的acl控制

prerouting:路由前执行的规则

postrouting:路由后的规则

mangle表
路由标记等
包含五个链

iptables企业面试口试题

1.说出iptables工作流程以及规则过滤顺序
1)首先数据包
到达路由前的prerouting链,此时可以对数据包的目的地址进行改变
2)然后主机进行路由的选择:如果数据目的地址是本机就经过input链进入到主机,然后本机进行处理完成之后,交由output链进行处理,最后交给postrouting链,此时可以改变数据包的源地址
如果目的地址不是本地且内核模块开启了路由转发功能,此数据包就会到达forward链转发流量,最后到达postrouting链,选择对应子网的网卡发送出去;

2.iptables有几个表以及每个表有几个链
四表五链

filter表:input、output、forward
nat表:postrouting output prerouting
mangle表:input output forward prerouting postrouting

3.iptables的几个表以及每个表对应链的作用,对应企业应用场景
filter:主机防火墙
nat:地址转换;企业上网,端口映射
mangle:主机进行标记

企业上网
iptables -t nat -A POSTROUTING -s (内网ip/mask) -j SNAT --to-source (外网ip)
开启内核转发
端口映射
iptables -t nat -A PREROUTING -d 100.0.0.13 -p tcp --dport 80 -j DNAT --to-destination 100.0.0.14:8080

4.画图讲解iptables包过滤经过不同表和链简易流程图并阐述

5.请写出查看iptables 当前所有规则的命令
iptables -nL

6.禁止来自10.0.0.188 ip地址访问80端口的请求

iptables -t filter -I INPUT -s 10.0.0.188 --dport 80 -j DROP

上一篇:从 foxmail 到 thunderbird (邮件客户端)


下一篇:如何在 Ubuntu 16.10 的 Unity 8 上运行老式 Xorg 程序