当前位置:首页 > 芯闻号 > 充电吧
[导读]概述 最近做关WiFi家庭网关项目,接触到很多新的知识,本文对linux的iptables、网关中的NAT转换、DMZ、端口映射和端口触发等概念进行总结 linux iptables lin

概述

最近做关WiFi家庭网关项目,接触到很多新的知识,本文对linux的iptables、网关中的NAT转换、DMZ、端口映射和端口触发等概念进行总结

linux iptables

linux iptables是linux2.6内核以后使用的一套网络工具,对其进行合理的配置,可实现防火墙、NAT转换等网关功能

好,那么iptables怎么配置,这些配置是如何实现的呢

iptables配置方法

应用层的iptables是一个可执行程序,iptabltes- h可看到命令帮助,这里首先要说明一下iptables中的3个层次递进的概念:表(table)、链(chain)和规则(target),iptables应用程序命令就是对某个表的某个链的某个规则操作

iptables默认有4张表,nat、filter、mangle和raw,项目中使用了nat和filter,所以这里只说nat和filter

每个表都有几条默认的链,nat默认有PREROUTING、INPUT、OUTPUT、POSTROUTING4个链,filter默认有INPUT、FORWARD、OUTPUT3个链,表不可增减,但是表中的链可自定义增加或删除

命令格式 : iptables -t [table] -[opt] [chain] -j ...
命令的格式变化太多,且无需记住所有命令,关键是实际中如何使用,常用哪些,后续再说

iptables内核实现

这里不会分析源码,只注重大局和框架,上图最方便

上图表示的是网络数据从网卡驱动接收程序中跳转到协议层后,都经历了哪些东东,这些过程属于linux的net子系统,与设备无关

所有报文都经过这个图,从PREROUTING这里,报文的mac已经被剥离,即从以后是三层处理,主要关注报文的ip地址,先抛开这些点是干嘛的,理一理数据报的流向

PREROUTING点表示还未进行路由之前,经过路由后,报文的流向无非是两个结果,要么该报文是发往本机的,即上面一条路,要么是发往其他设备的,走下面一条路

如果是发往本机,则经过IUPUT点,到达Localhost,即发往上层协议处理,处理之后,还会经过一个路由,判断发往哪里

如果是发往其他设备,则经过FORWARD点进行转发

最后所有数据报都会经过POSTROUTING点,出设备

这些点和iptables中的表和链是什么关系?此即彼

iptables在内核中的实现是通过netfilter完成的,本质上是在这些预先设置好的点上添加各种内核钩子函数,当程序执行到这些点上时,按照iptables应用程序配置的规则进行处理,是接收、丢弃、转发,还是NAT转换…,iptables和内核通信通过netlink完成,当然出于某些特殊需求,你也可以自己添加钩子函数,怎么添加,看/linux-2.6-xxx/net/netfilter/下的几个源码自然会了

NAT转换

NAT转换是干嘛?转换ip地址,为什么要转换?一是地址不够了,二是保护内网

地址不够的问题就要涉及到网络地址划分了,不展开说,地址分为A、B、C、D、E五类,所有地址中选取一些地址作为私有地址,只用于内网,它们是

10.0.0.0 ~ 10.255.255.255

172.16.0.0 ~ 172.31.255.255

192.168.0.0 ~ 192.168.255.255

怎么保护,外网不可访问内网,内网可以访问外网

iptables的表nat专门用于设置和处理NAT转换的规则,内网访问外网资源时,将源ip地址转换为一个外网地址,该过程叫SNAT,iptables设置后,也可以让外网访问内网部分资源,将目的ip地址转换为一个内网地址,该过程叫DNAT,说白了,核心在于对网络结构的理解,对iptables进行配置,以控制数据流的走向

DMZ

DMZ是干嘛的,官话是位于外网和防火墙之间的一个区域,可放置一些私人服务器资源,供外网访问,上图来理解

上图中,共有三个区域,外网、DMZ和内网,一般用户家中如果不放置私人服务器等东东,没有DMZ

外网在网关左侧,DMZ和内网在网关右侧,表明DMZ和内网都是私有地址,内网包括用户会使用的PC、手机等设备,这些设备必须与外网严格隔离,不可被外网入侵,DMZ区域放置一些可以被外网访问的服务器

一般的规则是:外网可访问DMZ,不可访问内网,DMZ不可访问外网和内网,内网可访问外网和DMZ

但是规则都是人定的,关键在于iptables的配置,怎么玩都行其实

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

今天,小编将在这篇文章中为大家带来防火墙的有关报道,通过阅读这篇文章,大家可以对它具备清晰的认识,主要内容如下。

关键字: 防火墙 计算机

北京——2024年3月7日 亚马逊云科技宣布,通过与光环新网和西云数据的紧密合作,在亚马逊云科技(北京)区域和(宁夏)区域推出网络防火墙服务Amazon Network Firewall,帮助客户更轻松地为其运行在亚马逊...

关键字: 防火墙 引擎 网络保护

是德科技(Keysight Technologies, Inc.)近日宣布, Keysight APS-M8400 网络安全测试平台助力 Fortinet 验证 FortiGate 4800F 新一代防火墙(NGFW)防...

关键字: 数据中心 防火墙

在这篇文章中,小编将为大家带来Linux内核的相关报道。如果你对本文即将要讲解的内容存在一定兴趣,不妨继续往下阅读哦。

关键字: 嵌入式 Linux 内核

以下内容中,小编将对嵌入式linux内核移植实现方案的相关内容进行着重介绍和阐述,希望本文能帮您增进对嵌入式的了解,和小编一起来看看吧。

关键字: 嵌入式 Linux 内核

北京2022年12月26日 /美通社/ -- 近日,全球IT研究与咨询机构Gartner®发布了2022年Magic Quadrant™ for Network Firewalls 报告。山石网科连续第...

关键字: 防火墙 网络 山石网科 GARTNER

上海2022年11月29日 /美通社/ -- 2022年11月4日至6日,具有国际影响力的金融科技经纪商ATFX参加且赞助了2023年“爱丁堡公爵杯”预选赛。此次预选赛是在墨西哥金塔纳罗奥州坎昆月亮宫酒店球场(Hotel...

关键字: 内核 进程 TE SE

据业内信息报道,近日半导体封测大厂日月光已从高通公司获得Oryon芯片的封测大单。

关键字: 高通 内核 Oryon 封测 日月光

据业内消息,在近日举办的Snapdragon技术峰会中,高通公司公布了新一代定制ARM内核Oryon。

关键字: 高通公司 ARM 内核 Oryon

北京2022年11月15日 /美通社/ -- "双十一"当天,思享无限正式推出拾遗计划,聚焦非遗文化的传播与传承,将传统文化与直播新的媒介语境相融合,让非遗传承者、非遗爱好者在直播平台上共同参与、共同...

关键字: 互联网 内核 数字化
关闭
关闭