tables_traverse.jpg
表的說明:
- filter表:負(fù)責(zé)過濾功能笑撞,防火墻捺宗;內(nèi)核模塊:iptables_filter
- nat表:network address translation鹦付,網(wǎng)絡(luò)地址轉(zhuǎn)換功能被因;內(nèi)核模塊:iptable_nat
- mangle表:拆解報(bào)文茬缩,做出修改赤惊,并重新封裝 的功能;iptable_mangle
- raw表:關(guān)閉nat表上啟用的連接追蹤機(jī)制寒屯;iptable_raw
規(guī)則 = 條件+動作
條件:
- 基本條件:源地址+目標(biāo)地址
- 擴(kuò)展條件:源端口荐捻、目標(biāo)端口等,需要加載對應(yīng)的模塊
動作:
- ACCEPT:允許數(shù)據(jù)包通過寡夹。
- DROP:直接丟棄數(shù)據(jù)包处面,不給任何回應(yīng)信息,這時(shí)候客戶端會感覺自己的請求泥牛入海了菩掏,過了超時(shí)時(shí)間才會有反應(yīng)魂角。
- REJECT:拒絕數(shù)據(jù)包通過,必要時(shí)會給數(shù)據(jù)發(fā)送端一個(gè)響應(yīng)的信息智绸,客戶端剛請求就會收到拒絕的信息野揪。
- SNAT:源地址轉(zhuǎn)換,解決內(nèi)網(wǎng)用戶用同一個(gè)公網(wǎng)地址上網(wǎng)的問題瞧栗。
- MASQUERADE:是SNAT的一種特殊形式斯稳,適用于動態(tài)的、臨時(shí)會變的ip上迹恐。
- DNAT:目標(biāo)地址轉(zhuǎn)換挣惰。
- REDIRECT:在本機(jī)做端口映射。
- LOG:在/var/log/messages文件中記錄日志信息殴边,然后將數(shù)據(jù)包傳遞給下一條規(guī)則憎茂,也就是說除了記錄以外不對數(shù)據(jù)包做任何其他操作,仍然讓下一條規(guī)則去匹配
