千家信息网

iptable表链关系

发表于:2024-12-13 作者:千家信息网编辑
千家信息网最后更新 2024年12月13日,1、在生产中selinux 是关闭的。iptables 根据环境,内网关闭,外网开启。如果是大并发的情况,不开启iptables.2、/var/log/messages 出现kernel:nf_con
千家信息网最后更新 2024年12月13日iptable表链关系

1、在生产中selinux 是关闭的。iptables 根据环境,内网关闭,外网开启。如果是大并发的情况,不开启iptables.

2、/var/log/messages 出现kernel:nf_conntrack:table full,dropping packet 是因为业务访问慢造成的
优化:
net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
#表池调大
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
#超时时间调小


3、Netfilter /iptables 是基于包过滤的防火墙。安全性比老一辈的ipfwadm、ipchains 强大很多,主

要工作在二、三、四层。如果重新编译内核,也可以支持七层控制。


4、容器:包含或者说属于的关系
Netfilter /iptables 是表的容器。(filter、NAT、mangle、raw)

iptanles tables是chains的容器

(INPUT(进入)、OUTPUT(出)、FORWARD(转发)、PREROUTING(预路由)、POSTROUTING(出路由))

chins:是policy(规则)的容器。

5、FILTER 表(默认): 真正负责主机防火墙的(过滤主机流入主机的数据包)
INPUT :负责过滤所有目标地址是本机地址的数据包
OUTPUT:处理所有源地址是本机地址的数据包
FORWARD :负责转发流经主机的数据包; lvs NAT模式 (net.ipv4.ip_forward=0)


6、NAT 表:负责网络地址转换,即来源与目的ip地址和port的转换。,一般用于局域共享上网或者特殊端口转换。
OUTPUT :改变主机发出数据包的目的地址。
PREROUTING:在数据包到达防火墙是进行路由判断之前执行规则,作用改变数据包的目的地址、目前端口
POSTROUTING: 在数据包在离开防火墙时进行路由判断之前执行规则 改变数据包的源地址,源端口。


7、防火墙是层层过滤的,实际是按照配置规则的顺序从上到下,从前到后进行匹配的。
如果匹配上规则,即明确表名是阻止还是通过,数据包就不在向下匹配新规则了

如果所有规则中没有明确表明是阻止还是通过,也就是没有匹配规则,向下进行匹配 ,直到匹配默认

规则得到明确的阻止还是通过。

防火墙默认规则是所有的规则执行完才会执行。

8、iptables的工作流程图。


FILTER ============> MANGLE

INPUT 内核 OUTPUT

∧ ∨

NAT

MANGLE OUTPUT

INPUT

FILTER OUTPUT

∧ ∨

MANGLE ======> NAT ======== ==== >MANGLE =======>FILTER============>MANGLE========---->NAT

PREROUTING PREROUTING FORWORD FORWARD FORWARD POSTROUTING POSTROUTING


0