iptables複習

包含和被包含的關系

iptables是表的容器

表是鍊的容器，每個表中都包含若幹個鍊

鍊是規則的容器，真正過濾規則是屬于鍊裡邊的

filter表

真正的防火牆功能

包含的鍊：input forward output

和主機自身有關，iptables預設的表

企業工作場景：主機防火牆

nat表

位址轉換，即來源和目的ip位址和port的轉換

包含：output prerouting postrouting

一般用于區域網路共享上網或者特殊的端口和ip的轉換有關

工作場景：

企業路由或網關，共享上網(postrouting)

一對一的位址映射 DMZ (prerouting)

端口映射，例如：映射80端口(prerouting)

nat功能相當于網絡的acl控制

prerouting：路由前執行的規則

postrouting：路由後的規則

mangle表

路由标記等

包含五個鍊

iptables企業面試口試題

1.說出iptables工作流程以及規則過濾順序

1）首先資料包

到達路由前的prerouting鍊,此時可以對資料包的目的位址進行改變

2）然後主機進行路由的選擇：如果資料目的位址是本機就經過input鍊進入到主機，然後本機進行處理完成之後，交由output鍊進行處理，最後交給postrouting鍊，此時可以改變資料包的源位址

如果目的位址不是本地且核心子產品開啟了路由轉發功能，此資料包就會到達forward鍊轉發流量，最後到達postrouting鍊，選擇對應子網的網卡發送出去；

2.iptables有幾個表以及每個表有幾個鍊

四表五鍊

filter表：input、output、forward

nat表：postrouting output prerouting

mangle表：input output forward prerouting postrouting

3.iptables的幾個表以及每個表對應鍊的作用，對應企業應用場景

filter：主機防火牆

nat：位址轉換；企業上網，端口映射

mangle：主機進行标記

企業上網

iptables -t nat -A POSTROUTING -s (内網ip/mask) -j SNAT --to-source (外網ip)

開啟核心轉發

端口映射

iptables -t nat -A PREROUTING -d 100.0.0.13 -p tcp --dport 80 -j DNAT --to-destination 100.0.0.14:8080

4.畫圖講解iptables包過濾經過不同表和鍊簡易流程圖并闡述

5.請寫出檢視iptables 目前所有規則的指令

iptables -nL

6.禁止來自10.0.0.188 ip位址通路80端口的請求

iptables -t filter -I INPUT -s 10.0.0.188 --dport 80 -j DROP