netfilter

netfilter является рядом рычагов, растянутых всюду по сетевому коду в ядре. Это означает, что, если часть кода собирается сделать что-то значительное (мы назовем его X), это вызывает функцию, которая говорит, что "я собираюсь сделать X". Та функция затем уведомила бы любые другие заинтересованные стороны через зарегистрированный обратный вызов. Это также используется другим (не iptables) системы как IPVS.

netfilter также включает механизмы для передающих пакетов к программам пространства пользователя - это используется iptables для ОЧЕРЕДИ, и ULOG предназначается позволять пользователю обрабатывать пакеты в пространстве пользователя.

ip_tables (модуль ядра)

ip_tables является модулем, который использует netfilter для получения этих уведомлений. Это определяет пакеты, которые это было сказано, релевантны, и делает действия, которые этому сказали сделать. Это знает, какие пакеты релевантны и действия для выполнения на них на основе правил, что пользователь дал его; это хранит эти правила в таблице. На самом деле это использует более универсальный модуль, xtables, это использование ip_tables.

Дополнительные модули

Дополнительные модули делают большую часть работы обеспечения критериев соответствия и предназначаются для действий. Некоторые примеры дополнительных модулей включают IP_NF_TARGET_LOG и NF_NAT.

iptables (инструмент пространства пользователя)

iptables является инструментом пространства пользователя для того, чтобы установить те правила в ip_tables модуле. Инструмент также идет со многими плагинами, которые анализируют правила регистра и параметры командной строки.

Узнайте больше о iptables внутренностях

Если Вы хотите узнать больше внутренностей, существует превосходная книга об этом. Книга имеет все, в чем Вы нуждаетесь, если Вы хотите создать дополнительную функциональность для iptables, но не сделаете многого к далее своему пониманию того, как использовать iptables.

Узнайте больше об использовании iptables

Если Вы хотите лучше понять, как использовать iptables, лучше считать несколько различных частей документации для наблюдения вещей, объясненных по-разному. Еще более важный, должен играть с iptables самостоятельно. Я особенно ценил использование цели ЖУРНАЛА для наблюдения потока пакетов через таблицы и цепочки и эффекты правил о них. Кроме того, диаграмма потока пакетов через таблицы чрезвычайно полезна. Наконец, при попытке сделать что-то с iptables, и он не делает то, что Вы ожидаете, задаете конкретному вопросу здесь на сайте; существует много людей, которые регулярно отвечают на вопросы, кто знаком с iptables.