一 Firewall
iptables中的Firewall(防火墙)概念,属于网络防火墙的概念。
iptables中的防火墙的这些规则是基于TCP/IP协议栈的规则,所以我们称为网络防火墙。
这些规则有:
1 in-interface(入网络接口名),数据包从哪个网络接口进入。
2 out-interface(出网络接口名),数据包从哪个网络接口输出。
3 protocol(协议类型),数据包的协议,如TCP、UDP和ICMP等。
4 source(源地址(或子网)),数据包的源IP地址(或子网)。
5 destination(目标地址(或子网)),数据包的目标IP地址(或子网)。
6 sport(源端口号),数据包的源端口号。
7 dport(目的端口号),数据包的目的端口号。
符合这些规则的,可以设置为通过(ACCEPT),反之,则不通过(DROP)。或者,符合这些规则的,设置不通过(DROP);反之,则通过(ACCEPT)。
比如下面例子:
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
这个就表示:所有从eth0端口进入且协议是ICMP的报文可以通过(ACCEPT)。如果仅有此一条规则,那么潜台词就是:其余的报文,都不允许通过。
Netfilter中的Firewall,会在三个时刻点,进行处理。如下图:
二 mangle
mangle表主要用于修改数据包的Tos(Type of service,服务类型)、TTL(Time to live,生命周期)以及为数据包设置Mark标记,以实现Qos(Quality of Service,服务质量
)调整以及策略路由等应用。
Netfilter模块中的mangle处理的时刻点如下图
