包含和被包含的关系
iptables是表的容器
表是链的容器,每个表中都包含若干个链
链是规则的容器,真正过滤规则是属于链里边的
filter表
真正的防火墙功能
包含的链:input forward output
和主机自身有关,iptables默认的表
企业工作场景:主机防火墙
nat表
地址转换,即来源和目的ip地址和port的转换
包含:output prerouting postrouting
一般用于局域网共享上网或者特殊的端口和ip的转换有关
工作场景:
企业路由或网关,共享上网(postrouting)
一对一的地址映射 DMZ (prerouting)
端口映射,例如:映射80端口(prerouting)
nat功能相当于网络的acl控制
prerouting:路由前执行的规则
postrouting:路由后的规则
mangle表
路由标记等
包含五个链
iptables企业面试口试题
1.说出iptables工作流程以及规则过滤顺序
1)首先数据包
到达路由前的prerouting链,此时可以对数据包的目的地址进行改变
2)然后主机进行路由的选择:如果数据目的地址是本机就经过input链进入到主机,然后本机进行处理完成之后,交由output链进行处理,最后交给postrouting链,此时可以改变数据包的源地址
如果目的地址不是本地且内核模块开启了路由转发功能,此数据包就会到达forward链转发流量,最后到达postrouting链,选择对应子网的网卡发送出去;
2.iptables有几个表以及每个表有几个链
四表五链
filter表:input、output、forward
nat表:postrouting output prerouting
mangle表:input output forward prerouting postrouting
3.iptables的几个表以及每个表对应链的作用,对应企业应用场景
filter:主机防火墙
nat:地址转换;企业上网,端口映射
mangle:主机进行标记
企业上网
iptables -t nat -A POSTROUTING -s (内网ip/mask) -j SNAT --to-source (外网ip)
开启内核转发
端口映射
iptables -t nat -A PREROUTING -d 100.0.0.13 -p tcp --dport 80 -j DNAT --to-destination 100.0.0.14:8080
4.画图讲解iptables包过滤经过不同表和链简易流程图并阐述
5.请写出查看iptables 当前所有规则的命令
iptables -nL
6.禁止来自10.0.0.188 ip地址访问80端口的请求
iptables -t filter -I INPUT -s 10.0.0.188 --dport 80 -j DROP
