# iptables知識概念
[TOC]
## 一、iptables防火墻簡介
Netfilter/Iptables(以下簡稱Iptables)是unix/linux自帶的一款優秀且開放源代碼的安全自由的基于包過濾的防火墻工具,它的功能十分強大,使用非常靈活,可以對流入和流出服務器的數據包進行很精細的控制。特別是它可以在一臺非常低的硬件配置下跑的非常好
Iptables是Linux2.4及2.6內核中集成的服務。其功能與安全性比其ipfwadm,ipchains強大的多,iptables主要工作在OSI七層的二、三、四層,如果重新編譯內核,iptables也可以支持**7層控制(squid代理+iptables)**
* 強調:
如果并發比較大,或者日PV多的情況下,開啟防火墻要注意,很可能導致網站訪問緩慢
大并發(并發1萬,PV日3000萬)要么購買硬件防火墻,要么不開iptables防火墻
## 二、iptables 名詞和術語
### 1. 容器:包含和被包含的關系
容器:裝東西的器皿,docker容器技術,將鏡像裝在了一個系統中,這個系統就稱為容器
iptables稱為一個容器---裝著防火墻的表
防火墻的表又是一個容器---裝著防火墻的鏈
防火墻的鏈也是一個容器---裝著防火墻的規則
iptables---表---鏈---規則
### 2. 規則: 防火墻一條一條安全策略
防火墻匹配規則流程:參見防火墻工作流程圖
1) 防火墻是層層過濾的,實際是按照配置規則的順序從上到下,從前到后進行過濾的。
2) 如果匹配上規則,即明確表示是阻止還是通過,數據包就不再向下匹配新的規則。
3) 如果規則中沒有明確表明是阻止還是通過的,也就是沒有匹配規則,向下進行匹配,直到匹配默認規則得到明確的阻止還是通過。
4) 防火墻的默認規則是所有規則執行完才執行的。
### 3. 防火墻工作流程圖
iptables是采用數據包過濾機制工作的,所以它會對請求的數據包的包頭數據進行分析,并根據我們預先設定的規則來進行匹配是否可以進入到主機。

### 4. 四表五鏈
iptables表(tables)和鏈(chains)
* Filter表 實現防火墻安全過濾功能
* Nat表 負責數據包改寫,網關共享上網、IP和端口映射
* Mangle表 對數據進行表決包含所有鏈,實際用的不多,忽略
* RAW表 用處很少和Mangle一樣,直接忽略
## 三、filter表和NAT表詳述
對于filter表的控制是我們實現本機防火墻的重要手段,特別是對INPUT鏈的控制
### 1. filter表
1) 作用
主要和主機自身有關,真正負責主機防火墻功能的(過濾流入流出主機的數據包)。filter表是iptables默認使用的表。這個表定義了三個鏈(Chains):
2) 企業工作場景:
* 主機防火墻|
3) 鏈的作用
* INPUT
負責過濾所有目標地址是本機地址的數據包。通俗的講,就是過濾進入主機的數據包
* FORWARD
負責轉發流經主機的數據包。起轉發的作用,和LVS的NAT模式關系很大
* OUTPUT
處理所有源地址是本機地址的數據包,通俗的講,就是處理從主機發出去的數據包。
### 2. NAT表
1) 作用
nat表負責網絡地址轉換,即來源與目的ip地址和port的轉換。應用:和主機本身無關。一般用于局域網共享上網或者特殊的端口轉換服務相關。
這個表定義了三個鏈(Chains),nat功能就相當于網絡的acl控制。和網絡交換機:Acl類似。
2) NAT功能一般企業工作場景
* 用于做企業路由<zebna>或網關(iptibles),共享上網(POSTROUTING)
* 做內部外部IP地址一對一映射(dmz),硬件防火墻映射IP到內部服務器,ftp服務。(PREROUTING)
* web,單個端口的映射,直接映射80端口(PREROUTING)。
3) 鏈的作用
* OUTPUT
和主機發出去的數據包有關.改變主機發出數據包的目標地址。
* PREROUTING
在數據包到達防火墻時進行路由判斷之前執行的規則,作用是改變數據包的目的地址、目的端口等。
例如:把公網IP:124.42.60.113映射到局域網的10.0.0.19服務器上。如果是web眼務,可以把80轉為局域網的服務器上9000端口。
* POSTROUTING
在數據包離開防火墻時進行路由判斷之后執行的規則,作用改變數據包的源地址、源端口等。
例如:我們現在的筆記本和虛擬機都是10.0.0.0/24,就是出網的時候被我們企業路由器把源地址改成了公網地址了。生產應用:局域網共享上網。
## 四、iptables表和鏈工作流程圖
### 1.全流程圖

2.簡化流程圖[僅filter表,NAT表]

- shell編程
- 變量1-規范-環境變量-普通變量
- 變量2-位置-狀態-特殊變量
- 變量3-變量子串
- 變量4-變量賦值三種方法
- 變量5-數組相關
- 計算1-數值計算命令和案例
- 計算2-expr命令舉例
- 計算3-條件表達式和各種操作符
- 計算4-條件表達式和操作符案例
- 循環1-函數的概念與作用
- 循環2-if與case語法
- 循環3-while語法
- 循環4-for循環
- 其他1-判斷傳入的參數為0或整數的多種思路
- 其他2-while+read按行讀取文件
- 其他3-給輸出內容加顏色
- 其他4-shell腳本后臺運行知識
- 其他5-6種產生隨機數的方法
- 其他6-break,continue,exit,return區別
- if語法案例
- case語法案例
- 函數語法案例
- WEB服務軟件
- nginx相關
- 01-簡介與對比
- 02-日志說明
- 03-配置文件和虛擬主機
- 04-location模塊和訪問控制
- 05-status狀態模塊
- 06-rewrite重寫模塊
- 07-負載均衡和反向代理
- 08-反向代理監控虛擬IP地址
- nginx與https自簽發證書
- php-nginx-mysql聯動
- Nginx編譯安裝[1.12.2]
- 案例
- 不同客戶端顯示不同信息
- 上傳和訪問資源池分離
- 配置文件
- nginx轉發解決跨域問題
- 反向代理典型配置
- php相關
- C6編譯安裝php.5.5.32
- C7編譯php5
- C6/7yum安裝PHP指定版本
- tomcxat相關
- 01-jkd與tomcat部署
- 02-目錄-日志-配置文件介紹
- 03-tomcat配置文件詳解
- 04-tomcat多實例和集群
- 05-tomcat監控和調優
- 06-Tomcat安全管理規范
- show-busy-java-threads腳本
- LVS與keepalived
- keepalived
- keepalived介紹和部署
- keepalived腦裂控制
- keepalived與nginx聯動-監控
- keepalived與nginx聯動-雙主
- LVS負載均衡
- 01-LVS相關概念
- 02-LVS部署實踐-ipvsadm
- 03-LVS+keepalived部署實踐
- 04-LVS的一些問題和思路
- mysql數據庫
- 配置和腳本
- 5.6基礎my.cnf
- 5.7基礎my.cnf
- 多種安裝方式
- 詳細用法和命令
- 高可用和讀寫分離
- 優化和壓測
- docker與k8s
- docker容器技術
- 1-容器和docker基礎知識
- 2-docker軟件部署
- 3-docker基礎操作命令
- 4-數據的持久化和共享互連
- 5-docker鏡像構建
- 6-docker鏡像倉庫和標簽tag
- 7-docker容器的網絡通信
- 9-企業級私有倉庫harbor
- docker單機編排技術
- 1-docker-compose快速入門
- 2-compose命令和yaml模板
- 3-docker-compose命令
- 4-compose/stack/swarm集群
- 5-命令補全和資源限制
- k8s容器編排工具
- mvn的dockerfile打包插件
- openstack與KVM
- kvm虛擬化
- 1-KVM基礎與快速部署
- 2-KVM日常管理命令
- 3-磁盤格式-快照和克隆
- 4-橋接網絡-熱添加與熱遷移
- openstack云平臺
- 1-openstack基礎知識
- 2-搭建環境準備
- 3-keystone認證服務部署
- 4-glance鏡像服務部署
- 5-nova計算服務部署
- 6-neutron網絡服務部署
- 7-horizon儀表盤服務部署
- 8-啟動openstack實例
- 9-添加計算節點流程
- 10-遷移glance鏡像服務
- 11-cinder塊存儲服務部署
- 12-cinder服務支持NFS存儲
- 13-新增一個網絡類型
- 14-云主機冷遷移前提設置
- 15-VXALN網絡類型配置
- 未分類雜項
- 部署環境準備
- 監控
- https證書
- python3.6編譯安裝
- 編譯安裝curl[7.59.0]
- 修改Redhat7默認yum源為阿里云
- 升級glibc至2.17
- rabbitmq安裝和啟動
- rabbitmq多實例部署[命令方式]
- mysql5.6基礎my.cnf
- centos6[upstart]/7[systemd]創建守護進程
- Java啟動參數詳解
- 權限控制方案
- app發包倉庫
- 版本發布流程
- elk日志系統
- rsyslog日志統一收集系統
- ELK系統介紹及YUM源
- 快速安裝部署ELK
- Filebeat模塊講解
- logstash的in/output模塊
- logstash的filter模塊
- Elasticsearch相關操作
- ES6.X集群及head插件
- elk收集nginx日志(json格式)
- kibana說明-漢化-安全
- ES安裝IK分詞器
- zabbix監控
- zabbix自動注冊模板實現監控項自動注冊
- hadoop大數據集群
- hadoop部署
- https證書
- certbot網站
- jenkins與CI/CD
- 01-Jenkins部署和初始化
- 02-Jenkins三種插件安裝方式
- 03-Jenkins目錄說明和備份
- 04-git與gitlab項目準備
- 05-構建自由風格項目和相關知識
- 06-構建html靜態網頁項目
- 07-gitlab自動觸發項目構建
- 08-pipelinel流水線構建項目
- 09-用maven構建java項目
- iptables
- 01-知識概念
- 02-常規命令實戰
- 03-企業應用模板
- 04-企業應用模板[1鍵腳本]
- 05-企業案例-共享上網和端口映射
- SSH與VPN
- 常用VPN
- VPN概念和常用軟件
- VPN之PPTP部署[6.x][7.x]
- 使用docker部署softether vpn
- softEther-vpn靜態路由表推送
- SSH服務
- SSH介紹和部署
- SSH批量分發腳本
- 開啟sftp日志并限制sftp訪問目錄
- sftp賬號權限分離-開發平臺
- ssh配置文件最佳實踐
- git-github-gitlab
- git安裝部署
- git詳細用法
- github使用說明
- gitlab部署和使用
- 緩存數據庫
- zookeeper草稿
- mongodb數據庫系列
- mongodb基本使用
- mongodb常用命令
- MongoDB配置文件詳解
- mongodb用戶認證管理
- mongodb備份與恢復
- mongodb復制集群
- mongodb分片集群
- docker部署mongodb
- memcached
- memcached基本概念
- memcached部署[6.x][7.x]
- memcached參數和命令
- memcached狀態和監控
- 會話共享和集群-優化-持久化
- memcached客戶端-web端
- PHP測試代碼
- redis
- 1安裝和使用
- 2持久化-事務-鎖
- 3數據類型和發布訂閱
- 4主從復制和高可用
- 5redis集群
- 6工具-安全-pythonl連接
- redis配置文件詳解
- 磁盤管理和存儲
- Glusterfs分布式存儲
- GlusterFS 4.1 版本選擇和部署
- Glusterfs常用命令整理
- GlusterFS 4.1 深入使用
- NFS文件存儲
- NFS操作和部署
- NFS文件系統-掛載和優化
- sersync與inotify
- rsync同步服務
- rsyncd.conf
- rsync操作和部署文檔
- rsync常見錯誤處理
- inotify+sersync同步服務
- inotify安裝部署
- inotify最佳腳本
- sersync安裝部署
- 時間服務ntp和chrony
- 時間服務器部署
- 修改utc時間為cst時間
- 批量操作與自動化
- cobbler與kickstart
- KS+COBBLER文件
- cobbler部署[7.x]
- kickstart部署[7.x]
- kickstar-KS文件和語法解析
- kickstart-PXE配置文件解析
- 自動化之ansible
- ansible部署和實踐
- ansible劇本編寫規范
- 配置文件示例
- 內網DNS服務
- 壓力測試
- 壓測工具-qpefr測試帶寬和延時