什么是iptables
- 常见于Linux系统下应用层防火墙工具
使用场景
- 场景:模拟使用iptables控制并发http访问
NetFilter
- 什么是NetFilter
NetFilter是Linux操作系统核心层内部的一个数据包处理模块 -
什么是Hook point
数据包在NetFilter中的挂载点,分别是pre_routing,input,output,forward,post_routing
iptables规则组成
- 组成部分:四张表+五条链(Hook point)+规则
四张表:filter表 nat表 mangle表 raw表
_filter表:访问控制 规则匹配
_nat表:地址转发
_mangle表: 修改数据包,改变包头中的内容(TTL,TOS,MARK)
_ raw表 :数据包状态的跟踪和分析-
五条链:pre_routing,input,output,forward,post_routing
-
规则
_数据包访问控制:accept drop(丢弃) reject(拒绝)
_数据包改写:snat(发起端数据地址的改写), dnat(目标地址的改写)
_信息记录:log
使用场景
#iptables -L 显示当前设置的iptables规则
#iptables -F 清除之前设置的规则