什么是iptables

• 常见于Linux系统下应用层防火墙工具

使用场景

• 场景:模拟使用iptables控制并发http访问

image.png

NetFilter

• 什么是NetFilter
  NetFilter是Linux操作系统核心层内部的一个数据包处理模块

• 什么是Hook point
  数据包在NetFilter中的挂载点,分别是pre_routing,input,output,forward,post_routing

  
  
  image.png

iptables规则组成

• 组成部分:四张表+五条链(Hook point)+规则

1. 四张表:filter表 nat表 mangle表 raw表
   _filter表:访问控制 规则匹配
   _nat表:地址转发
   _mangle表: 修改数据包,改变包头中的内容(TTL,TOS,MARK)
   _ raw表 :数据包状态的跟踪和分析

2. 五条链:pre_routing,input,output,forward,post_routing

   
   
   image.png

3. 规则
   _数据包访问控制:accept drop(丢弃) reject(拒绝)
   _数据包改写:snat(发起端数据地址的改写), dnat(目标地址的改写)
   _信息记录:log

   
   
   image.png

使用场景

image.png

#iptables -L 显示当前设置的iptables规则
#iptables -F 清除之前设置的规则