参考:https://www.zsythink.net/archives/1199
Netfilterの
NetfilterののLinuxカーネルは、パケットフィルタリング、転送、NATアドレス変換機能を提供するパケット処理モジュールです。iptablesは、修正パケット処理ルールを削除し、Netfilterの増加に使用することができるツールです。
Netfilterのは、フリーソフトウェアファイアウォールであるカードとカーネルスタックの間に位置し、壁、です。
ルール、テーブル、チェーン、レベルの昇順で:Netfilterの三つの主要な概念があります。
- 処理規則は特定のパケットに記載し、マッチングフィールドアクションを含んでいます。
- チェーンは、ルールのセットです。
- チェーンルールテーブルは、機能の同じセットです。
ルール
チェーン
鎖は、デッドエンドポイントは、処理されるパケットのバリアタイプのカーネル・プロトコル・スタックおよびネットワークアダプタの前に、複数のチェックポイントとして扱うことができる、すなわち、どこ鎖一致しました。
- メッセージのスタックによって送信されたカードのコアプロトコル:PREROUTING - > INPUT
- カードがカーネルスタックのパケットにに出てくることができません:PREROUTING - > FORWARD - > POSTROUTING
- - > POSTROUTING OUTPUT:カーネルスタックカードメッセージで送信されました
テーブル
管理を容易にするために、チェーンは、iptablesのが私たちのために4つのテーブルを定義している、同じ機能を単一のテーブルに編成されているルール。
テーブルの優先順位(高から低へ):生 - >マングル - > NAT - >フィルタ
ブレスレットの関係
チェーンは、複数のテーブルを持つことができますが、必ずしもすべてのテーブルを持っていません。
パケット処理チェーンに従って行われるが、テーブル・エントリの操作として実際に使用するには、ルールを定義します。