iptables复习

包含和被包含的关系

iptables是表的容器

表是链的容器，每个表中都包含若干个链

链是规则的容器，真正过滤规则是属于链里边的

filter表

真正的防火墙功能

包含的链：input forward output

和主机自身有关，iptables默认的表

企业工作场景：主机防火墙

nat表

地址转换，即来源和目的ip地址和port的转换

包含：output prerouting postrouting

一般用于局域网共享上网或者特殊的端口和ip的转换有关

工作场景：

企业路由或网关，共享上网(postrouting)

一对一的地址映射 DMZ (prerouting)

端口映射，例如：映射80端口(prerouting)

nat功能相当于网络的acl控制

prerouting：路由前执行的规则

postrouting：路由后的规则

mangle表

路由标记等

包含五个链

iptables企业面试口试题

1.说出iptables工作流程以及规则过滤顺序

1）首先数据包

到达路由前的prerouting链,此时可以对数据包的目的地址进行改变

2）然后主机进行路由的选择：如果数据目的地址是本机就经过input链进入到主机，然后本机进行处理完成之后，交由output链进行处理，最后交给postrouting链，此时可以改变数据包的源地址

如果目的地址不是本地且内核模块开启了路由转发功能，此数据包就会到达forward链转发流量，最后到达postrouting链，选择对应子网的网卡发送出去；

2.iptables有几个表以及每个表有几个链

四表五链

filter表：input、output、forward

nat表：postrouting output prerouting

mangle表：input output forward prerouting postrouting

3.iptables的几个表以及每个表对应链的作用，对应企业应用场景

filter：主机防火墙

nat：地址转换；企业上网，端口映射

mangle：主机进行标记

企业上网

iptables -t nat -A POSTROUTING -s (内网ip/mask) -j SNAT --to-source (外网ip)

开启内核转发

端口映射

iptables -t nat -A PREROUTING -d 100.0.0.13 -p tcp --dport 80 -j DNAT --to-destination 100.0.0.14:8080

4.画图讲解iptables包过滤经过不同表和链简易流程图并阐述

5.请写出查看iptables 当前所有规则的命令

iptables -nL

6.禁止来自10.0.0.188 ip地址访问80端口的请求

iptables -t filter -I INPUT -s 10.0.0.188 --dport 80 -j DROP