曲径通幽论坛

标题: ”链“的概念 [打印本页]

作者: beyes 时间: 2012-2-28 20:44
标题: ”链“的概念
每个表都有自己的一组内置链，用户还可以自定义链，这样用户就可以建立一组规则，它们都关联到一个共同的标签，如 INPUT_ESTABLISHED 或 DMZ_NETWORK 。

当一个数据包由内核中的路由计算确定为指向本地 Linux 系统 (即该数据包指向一个本地套接字) 之后，它将经过 INPUT 链的检查。

OUTPUT 链保留给由 Linux 系统自身生成的数据包。

FORWARD 链管理进过 Linux 系统路由的数据包 (即当 iptables 防火墙用于连接两个网络，并且两个网络之间的数据包必须流经该防火墙) 。

另外两个对于关键 iptables 部署很重要的链是 nat 表中的 PREROUTING 和 POSTROUTING 链，它们分别用于在内核进行 IP 路由计算之前和之后修改数据包的头部。

下图显示了数据包是如何通过内核中的 nat 和 filter 表的：
[attach]247[/attach]

表的概念可参考：http://www.groad.net/bbs/read.php?tid-6318.html

下图展示了链与表的框架关系：

欢迎光临曲径通幽论坛 (http://www.groad.net/bbs/)