LINUX下iptables四表五链-高级运维

linux下的防火墙.首先防火墙的定义:在网络边缘根据我们所定义的一些规则来对数据包进行过滤的想要查看Linux机器上的防火墙.首先要先确定服务是否在运行.在Centos下有两种方法.1:利用"setup"命令来查看.2:利用"service iptables status"命令.如果服务在运行就会有显示.反之亦然.****************************************************************************************************************************************************

****************************************************************************************************************************************************
由图可见,规则链是包含在规则表里的.
规则链
规则的作用在于对数据包进行过滤或处理，根据处理时机的不同，各种规则被组织在不同的“链”中规则链是防火墙规则/策略的集合

默认的5种规则链
INPUT：处理入站数据包，当接收到访问防火墙本机地址的数据包(入站)时，应用此链中的规则。
OUTPUT：处理出站数据包，当防火墙本机向外发送数据包(出站)时，应用此链中的规则。
FORWARD：处理转发数据包.当接收到需要通过防火墙发送给其他地址的数据包(转发)时，应用此链中的规则。
PREROUTING链:在对数据包作路由选择之前，应用此链中的规则。
POSTROUTING链:在对数据包作路由选择之后，应用此链中的规则。其中INPUT, OUTPUT链更多的应用在“主机访火墙”中，即主要针对服务器本机进出数据的安全控制:而FORWARD, PREROUTING, POSTROUTING链更多地应用在“网络防火墙”中，特别是防火墙服务器作为网关使用时的情况。

规则表
具有某一类相似用途的防火墙规则，按照不同处理时机区分到不同的规则链以后，被归置到不同的“表”中规则表是规则链的集合

默认4种规则表
raw表：是自1.2.9以后版本的iptables新增的表.debug测试，确认是否对该数据包进行状态跟踪.包含两个链.对应的内核模块为iptable_rawmangle表：主要用于修改数据包的TOS(Type Of Service，服务类型)、TTL(Time ToLive，生存周期)值以及为数据包设置Mark标记，以实现Qos (Quality of Service,服务质量)调整以及策略路由等应用，由于需要相应的路由设备支持，因此应用并不广泛。对应的内核模块为iptable_mangle.包含五个链.nat表：(Network Address Translation，网络地址转换)主要用于修改数据包的IP地址、端口号等信息。修改数据包中源地址和目标ip地址或端口，这是我们要学的重点，在nat表中定义的有prerouting\postrouting\output 三个               规则链.内核模块为iptable natfiler表：对数据包进行过滤,准许什么数据包通过,不许什么数据包通过.并且这个规则表也是默认的.这也是重点 在filter中 有INPUT FORWARD OUTPUT三个规则链.对应的内核模块为iptable_ filter