一、简介
1、iptables的定义:
防火墙分为硬件防火墙和软件防火墙。
iptables是软件防火墙,工作在OSI的第三、四层,是从操作系统层面对网络流量进行监控和防护。
延伸:
(1)Linux系统内核集成了网络访问控制的功能,通过netfilter模块来实现,是内核的一部分(内核空间)。
(2)用户层(用户空间)可以通过iptables程序对netfilter进行控制管理,进而实现网络的访问控制。
(3)TCP_Wrapppers也是网络控制的一个工具,作用在应用层(7层防火墙)
小结:
netfilter模块:内核空间,是内核的一部分。
iptables组件: 用户空间,提供管理防火墙的手段,主要作用在传输层(4层防火墙)。
其他参考:http://www.zsythink.net/archives/1199/
2、iptables的结构:
众多的路由规则(Rule)和预设的规则(policy)组成了一个功能链(chain),多个链组成一个表,多个表就组成了防火墙iptables。
最常用的就是filter表,nat表。
iptables是(4张)表的集合:filter、nat、mangle、raw
表是(5条)链的集合:PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING
链是规则的集合。
5条链和路由表组成2条通路:
(1)不通过服务器内部的通路
PREROUTING、路由表、FORWARD、POSTROUTING
(2)通过服务内部的通路
PREROUTING、路由表、INPUT、本地服务、OUTPUT、POSTROUTING
3、常用表功能:filter、nat
(1)filter表:用于数据包的过滤和网络控制。
含3条链:INPUT、OUTPUT、FORWARD
(2)nat表:用于地址转换(地址映射)和端口转换。如修改源地址和目标地址、修改端口号
含3条链:PREROUTING、OUTPUT、POSTROUTING
(3)mangle表,对数据包进行修改,例如给数据包打标记MARK
(4)raw表,主要做连接追踪。
iptables为我们定义了4张"表",当他们处于同一条"链"时,执行的优先级如下。
优先级次序(由高而低):
raw --> mangle --> nat --> filter
二、安装和简单使用
1、安装iptables
yum install iptables -y
2、开启和关闭iptables
service iptables start
service iptables stop
3、查看iptables
iptables -L
iptables -t filter -L # INPUT、OUTPUT、FORWARD
iptables -t nat -L # PREROUTING、OUTPUT、POSTROUTING
iptables -t mangle -L # PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING
iptables -t raw -L # PREROUTING、OUTPUT
iptables -t filter -L --line-numbers # 查看规则编号
三、规则配置
1、规则永久设置
vim /etc/sysconfig/iptables
2、清空防火墙
iptables -F
3、举例
iptables -t filter -I INPUT -j ACCEPT