一.基本架构
在Linux的内核中使用netfilter架构实现防火墙功能,iptables只不过是Linux为netfilter提供的管理工具,用于实现对Linux内核中网络防火墙的管控。
iptables服务启动脚本:/etc/rc.d/init.d/iptables
iptables的配置文件:/etc/sysconfig/iptables-config
iptables的策略配置文件:/etc/sysconfig/iptables
iptables服务的启动关闭:service iptables start/stop
二.iptables缺省的五条规则链:
三.iptables缺省的3个规则表:
filter:用于设置包过滤 input forward output 三个规则链
nat:用于设置地址转换 prerouting output postrouting 三个规则链
mangle:用于设置网络流量整形等应用 mark 打标记
ttl 生存时间
tos 流量带宽限制
四.iptables的基本命令
iptables -t tables -L INPUT -s source_ip -p tcp|udp|icmp –dport -j ACCEPT|DROP|REJECT
iptables filter -A OUTPUT
iptables nat -I FORWARD
iptables mangle -D PREROUTING
iptables -P POSTROUTING
iptables -F
iptables -R
应用实例:
iptables -P DROP -t filter /设置规则表默认策略
iptables -F /清楚规则链上的策略,但不能清除规则表默认策
iptables -nL /快速查看配置策略
iptables -nvL /快速查看配置策略v,其中包括细节,比如包拦截数量和字节数等。
iptables -nL -t nat /查看nat表策略
iptables -A INPUT -s 10.0.0.85 -p tcp -dport 25 -j ACCEPT /有-p必有端口-dport
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -p tcp –dport 80 -j SNAT –to 192.168.1.1:80
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 MASQUERADE
service iptables save /储存策略
chkconfig iptables on /默认开机启动
watch iptables -nL 1 /实时查看iptables的状态,每隔1s看一次