linux防火墙的基本概念

Linux 防火墙---netfilter

 netfilter 中五个勾子函数:

Netfilter在内核中选取五个位置放了五个hook(勾子) function(
    INPUT、
    OUTPUT、
    FORWARD、
    PREROUTING、
    POSTROUTING),

而这五个hook function向用户开放,用户可以通过一个命令工具(iptables)向其写入规则由信息过滤表(table)组成,包含控制IP包处理的规则集(rules),规则被分组放在链(chain)上

三种报文流向
    流入本机:PREROUTING --> INPUT-->用户空间进程
    流出本机:用户空间进程 -->OUTPUT--> POSTROUTING
    转发:PREROUTING --> FORWARD --> POSTROUTING

五个表table:filter、nat、mangle、raw、security

filter表:过滤规则表,根据预定义的规则过滤符合条件的数据包
nat表:network address translation 地址转换规则表
mangle:修改数据标记位规则表
raw:关闭启用的连接跟踪机制,加快封包穿越防火墙速度
security:用于强制访问控制(MAC)网络规则,由Linux安全模块(如SELinux)实现

数据包过滤匹配流程

linux防火墙的基本概念_第1张图片

内核中数据包的传输过程

当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去
如果数据包就是进入本机的,数据包就会沿着图向下移动,到达INPUT链。数据包到达INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后到达POSTROUTING链输出
如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出

你可能感兴趣的:(linux防火墙的基本概念)