图解iptables数据包旅程:从PREROUTING到POSTROUTING的完整流程拆解

原创 于 2026-02-14 08:00:20 发布 · 542 阅读 · 9
标签
#iptables #网络流量控制 #Linux网络

深入解析iptables数据包旅程:从PREROUTING到POSTROUTING的全链路追踪

当数据包进入Linux系统时,它会经历一场精心设计的"通关检查"。这场检查由iptables防火墙体系主导,通过五个关键关卡(链)和四类检查站(表)协同完成。本文将用TCP三次握手和HTTP请求作为案例,带您亲历数据包的完整旅程。

1. iptables核心架构:五链四表的协同设计

iptables的架构可以概括为"五链四表"模型。五条链构成数据包必经的检查点,四张表则定义了不同类型的处理规则。这种分层设计实现了功能解耦,让复杂的网络控制逻辑变得清晰可管理。

1.1 五条关键链的作用域

  • PREROUTING链:数据包进入系统后的第一道关卡(路由决策前)
  • INPUT链:目标是本机进程的数据包
  • FORWARD链:需要转发的数据包
  • OUTPUT链:本机进程发出的数据包
  • POSTROUTING链:离开系统前的最后处理(路由决策后)

1.2 四张规则表的功能划分

表类型 核心功能 典型应用场景
raw 连接跟踪前处理 性能敏感型流量豁免跟踪
mangle 修改包头部信息 QoS标记、TTL修改
nat 网络地址转换 SNAT、DNAT、端口映射
filter
最低0.47元/天 解锁文章
brandy
关注
深入理解postrouting prerouting
weixin_46249409的博客
06-09 4820
本文详细介绍了postrouting的概念,规则,翻译,发音以及常见的使用方式。通过深入学习postrouting,可以更好地掌握linux内核网络栈的处理过程,并实现更加灵活高效的网络操作。
[网络]五链四表详解
Insightful Ycyc
03-07 3488
链就是位置:共有五个 进路由(PREROUTING)、进系统(INPUT) 、转发(FORWARD)、出系统(OUTPUT)、出路由(POSTROUTING);表就是存储的规则;数据包到了该链处,会去对应表中查询设置的规则,然后决定是否放行、丢弃、转发还是修改等等操作。
iptables
zion--6135的博客
07-20 917
iptables-tnat-AOUTPUT-ptcp-d192.168.2.101--dport55-jDNAT--to-destination192.168.2.10053//实现把192.168.2.101的55端口的报文,转发到192.168.2.10053。路由器----交换机---LAN内的电脑1(192.168.1.1),电脑2(192.168.1.2)--->路由器收到---->给电脑1回复ip地址--->电脑1拿到一个ip地址。ip地址不是路由器。.........
POSTROUTINGPREROUTING区别
Jis的专栏
12-30 1万+
POSTROUTINGPREROUTING区别 标题: preroutingpostrouting不理解 我大概清楚一点就是从内网出去的时候用POSTROUTING进来的时候用PREROUTING,可是做透明代理的时候确是用PREROUTING。这是为什么呢? 回复: sunnygg pre还是post是根据数据包的流向来确定的。 通常
PREROUTING AND POSTROUTING
stronger125的专栏
01-27 1791
<br />Prerouting的作用是数据包刚刚到达防火墙时,改变其目的地址<br />Postrouting的作用是数据包就要离开防火前之前改变其源地址<br />PREROUTING:可以在这里定义进行目的NAT的规则,因为路由器进行路由时只检查数据包的目的ip地址,所以为了使数据包得以正确路由,我们必须在路由之前就进行目的NAT<br /> POSTROUTING:可以在这里定义进行源NAT的规则,系统在决定了数据包的路由以后在执行该链中的规则<br />网络接口:<br /> 可以使用--in
防火墙与iptables
weixin_45116657的博客
09-03 663
防火墙是一组规则。当数据包进出受保护的网络区域时,进出内容(特别是关于其来源、目标使用的协议等信息)会根据防火墙规则进行检测,以确定是否允许其通过。 ...
详解网络知识:iptables规则
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
03-21 241
iptables规则下图为数据包到达linux主机网卡后,内核如何处理数据包的大致流程什么是规则规则是管理员对数据包制定的一种触发机制,即当数据包达到某种条件,就执行指定的动作。条件:可以是数据包源地址、目的地址、协议等动作:可以是拒绝、接受、丢弃等;详细介绍见下表动作说明ACCEPT将封包放行,进行完此处理动作后,将不再比对其它规则,直接跳往下一个规则链(nat:postrouting)REJE...
iptables四表五链介绍
qq_44944641的博客
01-25 484
目录:一、iptables介绍:1.防火墙分类:二、四表五链详解:1.链:2.表: 一、iptables介绍: iptables 并不是真正意义上的防火墙,我们可以理解为一个客户端工具,用户通过ipatbles这个客户端,将用户的安全设定执行到对应的"安全框架"中,这个"安全框架"才是真正的防火墙,这个框架的名字叫netfilter。 netfilter才是防火墙真正的安全框架,netfilter位于内核空间。 iptables是一个命令行工具,位于用户空间,通过这个命令行工具来操作netfilter
PREROUTING POSTROUTING, SNAT DNAT图文解析(非常清淅)
热门推荐
虫二的专栏~~在路上~~~
07-19 5万+
NAT (网络地址转换) 技术在平时是很多见的,如家庭中在使用路由器共享上网时,一般用的就是 NAT 技术,它可以实现众多内网 IP 共享一个公网 IP 上网。NAT 的原理 简单的说就是当内网主机访问外网时,当内网主机的数据包要通过路由器时,路由器将数据包中的源内网 IP 地址改为路由器上的公网 IP 地址,同时记录下该数据包的消息;当外网服务器响应这次由内而外发出的请求或数据交换时,当外...
PREROUTING POSTROUTING, SNAT DNAT 剖析
Criss_Leung的专栏
09-15 5841
位置: PREROUTING POSTROUTING是位于NAT表中的两条数据中转链。 NAT: NAT (网络地址转换) 技术在平时是很多见的,如家庭中在使用路由器共享上网时,一般用的就是 NAT 技术,它可以实现众多内网 IP 共享一个公网 IP 上网。 NAT原理:  1.当内网主机访问外网时,当内网主机的数据包要通过路由器时,路由器将数据包中的源内网 IP 地址改为路由器上的
iptables防火墙
oyyy3的博客
11-01 492
目录 一.基础概述 1.netfilter/iptables关系 二.四表五链 1.四个表table:filter、nat、mangle、raw 2.六链:input output forward preroute psotroute 3.内核中数据包的传输过程 三.iptables安装与使用介绍 1.安装 2.控制类型 3.管理选项 5.iptables 1.添加新的规则 2 查看规则列表 3.设置默认策略 4.删除规则 5.清空规则 四.介绍几种规则的匹配 1.通用匹
Linux防火墙之“四链五表”
cjzcc1996的博客
07-16 2128
防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 能够指定火墙策略的两个工具包:iptablesfirewalld Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤限制,属于典型的包过滤防火墙或称作网络层防火墙(iptables) Firewalld:只用于管理Linux防火墙的命令程序,属于“用...
火墙的链与表
noflag的博客
09-01 589
文章目录前言关于防火墙关于netfilter关于iptables火墙的表与链(四表五链)链(chain)的概念规则链表(table)的概念规则表表链关系报文流向 前言 关于防火墙 在生产环境公网条件下,黑客丛生、罪恶漫天,企业会在公网内网之间砌一座保护墙,这个就叫做防火墙,有软件硬件之分,其原理都是依据策略对穿越防火墙自身的流量过滤。保障数据的安全性是继保障数据的可用性之后最为重要的一项工作。...
防火墙的基本概念及iptables四表五链详解
nigar_的博客
08-12 2655
防火墙的基本概念及iptables四表五链详解 1.防火墙的基本概念 防火墙是位于内外网之间的一组软硬件部件的组合,主要目的就是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 防火墙技术是通过有机结合各类用于安全管理与筛选的软件硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离
关于PREROUTINGPOSTROUTING
leo_wanta的专栏
12-12 1万+
PREROUTING POSTROUTING 的简单关系 源地址发送数据--> {PREROUTING-->路由规则-->POSTROUTING} -->目的地址接收到数据 当你使用:iptables -t nat -A PREROUTING -i eth1 -d 1.2.3.4 -j DNAT --to 192.168.1.40 时,你访问1.2.3.4,linux路由器会在“路由规则
2、iptables之五个链
LiuWei
05-07 1620
文章目录1.五种链的定义2.五条链流向图2.1.分析数据包流向之PREROUTINGPOSTROUTING2.2.分析数据包流向之INPUT2.3.分析数据包流向之OUTPUT2.4.分析数据包流向之FORWARD 1.五种链的定义 PREROUTING:数据包进入路由表之前 INPUT:通过路由表后目的地为本机 FORWARDING:通过路由表后,目的地不为本机 OUTPUT:由本机产生,向外转发 POSTROUTHING:发送到网卡接口之前 2.五条链流向图 内核空间:指的就是 Linux内核
你好,OpenEuler ! (十三、IPTABLES策略配置)
weixin_41633010的博客
12-05 1069
路虽远行则将至,事虽难做则必成! 滴水穿石,聚沙成塔! 感谢CSDN各位大佬的经典博文,在迷茫时能够拨云见日,指点迷津,让我继续一路前行! 如有侵权,请留言,我及时删除
Iptables之四表五链
Jack_chao_的博客
07-20 2487
iptables只是防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。iptables具体是如何去过滤各种规则的呢?请看下面的四表五链正常的访问流程图。
nat表中的prerouting链,postrouting链与 filter表中的 forward链有啥区别
最新发布
祈心无尘的博客
07-16 898
iptables
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值