青海住房与建设厅网站,h5网站的好处,哪个网站做任务可以赚钱,专业做蛋糕视频网站iptables链的概念#xff1a; 当客户端访问服务器端的Web服务的时候#xff0c;客户端发送请求报文到网卡#xff0c;而TCP/IP协议栈是属于内核的一部分。客户端的请求报文会通过内核的TCP协议传输到用户空间的Web服务#xff0c;而客户端报文的目的地址为Web服务器所监听的…
iptables链的概念 当客户端访问服务器端的Web服务的时候客户端发送请求报文到网卡而TCP/IP协议栈是属于内核的一部分。客户端的请求报文会通过内核的TCP协议传输到用户空间的Web服务而客户端报文的目的地址为Web服务器所监听的套接字ip:port上当Web服务器响应客户端请求的时候Web服务所回应的响应报文的目的地址为客户端地址。
netfilter是真正的防火墙属于内核的一部分所以我们要想让netfilter起到作用我们就需要在内核中设置关口所有进出的数据报文都要通过这些关口经过检查符合放行条件的则允许放行符合阻拦条件的则被阻止于是就出现了input和output关口然后在iptables我们把关口叫做链。 input有一串规则。
output有一串规则。 如果客户端发到本机的报文中包含的服务器地址并不是本机而是其他服务器此时本机就应该能够转发那么这个转发就是本机内核所支持的ip_forward功能此时我们的主机类似于路由器功能。所以我们会看到iptables中所谓的关口并不是只是上面提到的input和output这两个关口应该还有路由前、转发和路由后他们对应的英文分别是prerouting/forward/postrouting这就是我们所说的5链。 prerouting: 路由前
forward: 转发
postrouting: 路由后 那么这台服务器就起到了路由转发的功能。 ip_forward的开启方法
find / -name ip_forward
/proc/sys/net/ipv4/ip_forward
当这个文件里的值是1表示开启为0表示关闭。
临时的
echo 0 ip_forward永久更改
vim /etc/sysctl.conf
输入
net.ipv4.ip_forward1sysctl -p 再总结
链很多规则放在一起就是链。链上有很多规则。 1input从内核空间到用户空间
2output从用户空间到内核空间
3prerouting: 路由前
4forward转发
5postrouting路由后 常用场景中报文的流向
1到本机某服务进程的报文prerouting-input
2由本机转发的报文prerouting-forward-postrouting
3由本地的某个服务进程发出的报文通常为响应报文output-postrouting 规则链
防火墙的作用在于对经过的数据报文进行匹配规则然后执行对应的动作所以数据包经过这些关口的时候必须匹配这个关口的规则当时关口规则可能不止一条可能会有很多当我们把众多的规则配置在一个关口上时所有的数据包经过都必须进行匹配那就形成了一个要匹配的规则链条因此我们把链叫做规则链。 总结
input处理入站数据包
output处理出站数据包
forward处理转发数据包主要是将数据包转发至本机其他网卡
当数据报文经过本机的时候网卡接收数据报文至缓冲区内核读取报文ip首部发现报文不是送到本机时目的IP地址不是本机由内核直接送到forward链做匹配匹配之后若符合forward的规则再经由postrouting送往下一跳或目的主机。
prerouting在进行路由选择前处理数据包修改到达防火墙数据包目的IP地址用于判断目标主机改目的IP地址 DNAT
postrouting在进行路由选择后处理数据包修改要离开防火墙数据包的的源IP地址判断经由哪一个接口送往下一跳。改源IP地址 SNAT
