>>>raw表,包含两条规则链:OUTPUT、PREROUTING。
raw表是自1.2.9以后版本的iptables新增的表,主要用于决定数据包是否被状态跟踪机制处理。在匹配数据包时,raw表的规则要优先于其他表。 raw表对应的内核模块为iptable_raw。
Ps:在iptables的四个规则表中,mangle表和raw的表应用相对较少,下面主要介绍filter表和nat表的防火墙应用。
◆规则链
在处理各种数据包时,根据防火墙规则的不同介入时机,iptables供涉及5种默认规则链,其应用时间点分别对应如下。
>>>INPUT链:当接收到防火墙本机地址的数据包(入站)时,应用此链中的规则。
>>>OUTPUT链:当防火墙本机向外发送数据包(出战)时,应用次链中的规则。 >>>FORWARD链:当接收到需要通过防火墙发送给其他地址的数据包(转发)时,应用次链中的规则。
>>>PREROUTING链:在对数据包作路由选择之前,应用次链中的规则。 >>>POSTROUTING链:在对数据包作路由选择之后,应用次链中的规则。
Ps:期中INPUT、OUTPUT链更多的应用在“主机防火墙”中,即主要针对服务器本机进出数据的安全控制;而FORWARD、PREROUTING、POSTROUTING链更多的应用在“网络防火墙”中,特别是防火墙服务器作为网关使用时的情况。
1.3>、数据包过滤匹配流程
在前面内容中,已经介绍过iptables管理的4个默认表和5种规则链,在每个表的规则链里都可以设置防火墙规则,防火墙将根据这些规则来决定如何处理数据包。那么,当网络数据包到达防火墙以后,会有限使用哪一个表、哪一个链里的规则呢?数据包出入防火墙的规则匹配过程是怎样的?下面从不同的角度依次介绍数据包过滤的匹配流程。
ⅰ>、规则表之间的优先顺序
当数据包抵达防火墙时,将依次应用raw、mangle、nat和filter表中对应链内的规则(如果有的话)就像上图;
ⅱ>、规则链之间的优先顺序
由于默认规则链是根据规则介入时机进行分类的,因此优先顺序直接取决于数据包的具体流程;