Netfilter和iptables的区别和特点
Netfilter和iptables的关系我们经常听到Linux防火墙称为iptables事实上,这样的名字是不是很正确的,什么是防火墙我们需要在前面提到的Netfilter规则存储在内存中,但问题是如何不守规则的防火墙管理器到内存吗因此,防火墙的管理需要一个规则的添加、编辑、删除和修改操作对规则的记忆,这个工具,这个工具iptables和ip6tables,其中iptables用于IPv4网络环境,和ip6tables用于IPv6网络环境,因此,名称Linux防火墙的权利应该是netfilter / iptables。
此外,我们必须知道关于iptables的结构问题。如前所述,在Netfilter模块的防火墙,功能更多,可以实现通过升级内核升级的Netfilter的目标。然而,防火墙的升级不仅是通过升级内核实现,而且不增加Netfilter模块,它可以扩大Netfilter功能无限。我们需要知道防火墙管理人员通过iptables工具,规则写入Netfilter数据库(上面提到的规则链),这些规则有一个特定的语法;例如:iptables;T滤波器输入-p tcp - M州建立,相关jaccept 因此,当我们将规则,发送到iptables工具iptables工具将F首先检查语法是否正确,如果不正确,那么iptables工具显示语法错误警告信息;另一方面,iptables会把这些规则数据库中的规则。问题是怎样iptables工具学习一个新的模块,它的语法如何下降
事实上,不仅Netfilter模块,而且iptables工具模块。这些模块被存储在 / lib / X表目录,其中包含iptables和ip6tables模块。列出所有的模块2 iptables和ip6tables工具的libxt文件iptables模块,libip6t文件ip6tables模块;这些模块应与Netfilter模块是一对一的,如:/ lib /模块/ kernel_version / / / Netfilter内核网络/目录有一个叫做xt_string.ko模块,在 / / / lib X表目录会有一个叫libxt_string.so模块,也就是说,当我们发布的相关xt_string.ko语法,iptables工具基于libxt_string.so模块指令检查语法是否正确,并将负荷libxt_string.ko Netfilter模块到系统内存,iptables规则W最后写进数据库中的规则。
表2-2 iptables和ip6tables工具模块列表
从以上我们可以推断,如果所需的iptables工具不包含在模块发布规则,然后iptables会说你发出的语法不正确,如果iptables包含我们所发出的语法模块,但Netfilter却没有相应的模块,iptables将告诉我们一个Netfilter模块不存在。因此,如果一个内核升级或Netfilter-iptables软件也应升级。