IPtables概念和功能

1. IPTABLES四張表&五條鏈
   

iptables具有Filter, NAT, Mangle, Raw四種內(nèi)建表。

2. IPTABLES數(shù)據(jù)包流程
   

數(shù)據(jù)包先經(jīng)過PREOUTING，由該鏈確定數(shù)據(jù)包走向：
? 目的地址是本地，則發(fā)送到INPUT，讓INPUT決定是否接收下來送到用戶空間，流程為①--->②；
? 若滿足PREROUTING的nat表上的轉(zhuǎn)發(fā)規(guī)則，則發(fā)送給FORWARD，然后再經(jīng)過POSTROUTING發(fā)送出去，流程為： ①--->③--->④--->⑥；
? 主機發(fā)送數(shù)據(jù)包時，流程則是⑤--->⑥；
? 其中PREROUTING和POSTROUTING指的是數(shù)據(jù)包的流向，如上圖所示POSTROUTING指的是發(fā)往公網(wǎng)的數(shù)據(jù)包，而PREROUTING指的是來自公網(wǎng)的數(shù)據(jù)包。

3. Linux下IPtables下Filter表
   Filter表示iptables的默認表，因此如果你沒有自定義表，那么就默認使用filter表，它具有以下三種內(nèi)建鏈：
   ? INPUT鏈 – 處理來自外部的數(shù)據(jù)；
   ? OUTPUT鏈 – 處理向外發(fā)送的數(shù)據(jù)；
   ? FORWARD鏈 – 將數(shù)據(jù)轉(zhuǎn)發(fā)到本機的其他網(wǎng)卡設(shè)備上。

4. Linux下IPtables下NAT表
   NAT (網(wǎng)絡(luò)地址轉(zhuǎn)換) 技術(shù)在平時是很多見的，如家庭中在使用路由器共享上網(wǎng)時，一般用的就是 NAT 技術(shù)，它可以實現(xiàn)眾多內(nèi)網(wǎng) IP 共享一個公網(wǎng) IP 上網(wǎng)。
   NAT 的原理，簡單的說就是當(dāng)內(nèi)網(wǎng)主機訪問外網(wǎng)時，當(dāng)內(nèi)網(wǎng)主機的數(shù)據(jù)包要通過路由器時，路由器將數(shù)據(jù)包中的源內(nèi)網(wǎng) IP 地址改為路由器上的公網(wǎng) IP 地址，同時記錄下該數(shù)據(jù)包的消息；
   外網(wǎng)服務(wù)器響應(yīng)這次由內(nèi)而外發(fā)出的請求或數(shù)據(jù)交換時，當(dāng)外網(wǎng)服務(wù)器發(fā)出的數(shù)據(jù)包經(jīng)過路由器時，原本是路由器上的公網(wǎng) IP 地址被路由器改為內(nèi)網(wǎng) IP 。
   SNAT 和 DNAT 是 iptables 中使用 NAT 規(guī)則相關(guān)的的兩個重要概念。如上圖所示，如果內(nèi)網(wǎng)主機訪問外網(wǎng)而經(jīng)過路由時，源 IP 會發(fā)生改變，這種變更行為就是 SNAT；反之，當(dāng)外網(wǎng)的數(shù)據(jù)經(jīng)過路由發(fā)往內(nèi)網(wǎng)主機時，數(shù)據(jù)包中的目的 IP (路由器上的公網(wǎng) IP) 將修改為內(nèi)網(wǎng) IP，這種變更行為就是 DNAT 。NAT表有三種內(nèi)建鏈：
   ? PREROUTING鏈 – 處理剛到達本機并在路由轉(zhuǎn)發(fā)前的數(shù)據(jù)包。它會轉(zhuǎn)換數(shù)據(jù)包中的目標(biāo)IP地址（destination ip address），通常用于DNAT(destination NAT)。
   ? POSTROUTING鏈 – 處理即將離開本機的數(shù)據(jù)包。它會轉(zhuǎn)換數(shù)據(jù)包中的源IP地址（source ip address），通常用于SNAT（source NAT）。
   ? OUTPUT鏈 – 處理本機產(chǎn)生的數(shù)據(jù)包。