1 概述
如下图所示,iptables共有Filter,Nat,Mangle和RAW共四个table,每个table还有若干个chain,每个chain中还包含若干个rule
1.1 Filter table概述
如上所示,对于Filter table,封包的处理将分为以下三种情况:
- 当封包的目的地是本地主机时:当封包进入主机时首先会由Packet IN标记的位置进入,接着封包由ROUTING TABLE进行处理,在本例中,封包将送往本机的Process,因此封包将由INPUT Chain进行处理,若INPUT Chain内的规则不允许封包进入,则将被丢弃,否则封包被送往Local Process
- 当本地的Process产生封包往外发送时:这时Local Process将产生封包对外发送,首先进入ROUTING TABLE进行处理,接着封包被送往OUTPUT Chain,若OUTPUT Chain内的规则不允许封包离开本机,则封包被丢弃,否则封包从Packet OUT标记的位置离开本机
- 当封包穿越本机时:封包首先由Packet IN的位置进入,接着封包进入ROUTING TABLE进行处理,在本例中,封包将由另一个接口送出,因此封包被送往FORWARD Chain,若FORWARD Chain内的规则不允许封包穿越,那么封包将被丢弃,否则,封包由Packet OUT处离开本机
1.2 规则匹配方式
下面我们将以Filter Table中的INPUT Chain作为例子进行说明。如上所示,第一个被加进来的规则会存放在INPUT Chain的rule1中,以此类推。当一个封包进入,进行具体的匹配工作时,将从rule1开始依次往下匹配。当有一条rule满足匹配规则时,那么它可以决定封包的命运,无论封包是进入Local Process还是丢弃,INPUT Chain之后所有的rule都不再进行匹配。另外我们可以注意到,在每个Chain的结尾都有一个Default Policy,它的作用是在所有rule都未匹配成功的时候进行最后的裁决,它的状态不是ACCEPT,就是DROP。
1.3 iptables命令格式
// 将Filter Table中的INPUT Chain列出 iptables -t filter -L INPUT // 将Filter Table中的所有内容删除 iptables -t filter -F // 将规则加入到Filter Table中的INPUT Chain iptables -t filter -A INPUT -p icmp -j ACCEPT // 把FORWARD Chain的Default Policy设置为DROP // 需要注意的是,iptables的-F参数不会影响到Default Policy的状态,若要改变Default Policy的状态 // 一定要用-P来指定 iptables -t filter -P FORWARD DROP // 在INPUT Chain中插入新的规则 iptables -t filter -I INPUT 2 -p tcp -j ACCEPT // 取代INPUT Chain内已存在的规则 iptables -t filter -R INPUT 2 -p tcp -j ACCEPT // 删除INPUT Chain内已存在的规则 iptables -t filter -D INPUT 2