Linux 防火墙 iptables 中核心的四张表概述及其功能
本文博主将通过一个生动的“公司收发室”类比,深入浅出地解释了 Linux 防火墙iptables中核心的“四张表”(Tables)及其功能。
以下是详细分析:
1. 核心概念:什么是“表” (Tables)?
在 iptables 中,“链”(Chains)决定了数据包在什么时候受检查,而“表”则决定了检查什么内容(即功能的分类)。
图中强调了“按功能分组”的设计理念:将规则分类存放,可以提高处理效率并降低配置错误的风险。
2. 四张表的功能详解
图中使用收发室的不同岗位来类比四张表,我们可以将其对应到实际的网络处理逻辑中:
| 岗位 (类比) | 表名 (Table) | 核心功能 (实际应用) | 常见操作 |
|---|---|---|---|
| 保安 | filter | 过滤:决定数据包是否允许通过。这是最常用的表。 | ACCEPT, DROP, REJECT |
| 地址改写员 | nat | 地址转换:修改源地址或目的地址。用于上网共享或端口转发。 | SNAT, DNAT, MASQUERADE |
| 标签员 | mangle | 拆解/修改:修改数据包的特定标志位(如 TTL, TOS),用于流量整形或策略路由。 | MARK, TOS, TTL |
| 前台登记员 | raw | 状态免除:决定数据包是否被状态跟踪机制(Connection Tracking)处理。 | NOTRACK |
3. 为什么需要分四张表?(设计哲学)
图中最后一段话揭示了 Linux 内核处理网络包的设计思路:
- 解耦与专职化:如果所有的规则都混在一起,处理速度会变慢且逻辑混乱(容易出错)。
- 优先级与顺序:虽然图中未细说,但现实中这四张表是有执行顺序的。通常顺序是:
raw->mangle->nat->filter。 - 就像收发室一样,必须先登记(raw),再贴标签(mangle),最后保安(filter)才决定放不放行。
4. 知识点总结:表与链的关系
要完整理解 iptables,这张图提供的“功能维度”需要结合“位置维度”(五条链):
- PREROUTING: 数据包刚到达。
- INPUT: 数据包进入本机。
- FORWARD: 数据包经由本机转发。
- OUTPUT: 本机产生的数据包。
- POSTROUTING: 数据包即将离开。