linux下的防火墙iptables

防火墙（firewall），也称为防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网。它是一项信息安全的防护系统，依照特定的规则，允许或者是限制传输的数据通过。

• 简介

　　防火墙在做信息包过滤决定时，有一套遵循和组成的规则，这些规则存储在专用的信息包过滤表中，而这些表集成在linux内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中，而

netfilter/iptables IP信息包过滤系统是一款功能强大的工具，可用于添加、编辑和移除规则。

虽然netfilter/iptables IP信息包过滤系统被称为单个实体，但它实际上由两个组件netfilter和iptables组成的。

　　netfilter组件也称为内核空间，是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。

　　iptables组件是一种工具，也称为用户空间，它使插入、修改和除去信息包过滤表中的规则变得容易。

• 系统优点

　　netfilter/iptables的最大优点是它可以配置有状态的防火墙。有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时，防火墙所使用的这些状态信息可以增加其效率和速度。这里有四种有效状态，名称分别为ESTABLISHED、INVALID、NEW和related.

　　状态ESTABLISHED指出该信息包属于已建立的连接，该链接一直用于发送和接收信息包并且完全有效。

　　状态INVALID指出该信息包与任何已知的流或连接都不相关联，它可能包含错误的数据或头。

　　状态NEW意味着该信息包已经或将启动新的连接，或者它与尚未用于发送和接收信息包的连接相关联。

　　最后，状态RELATED表示该信息包正在启动新的连接，以及它与已建立的连接相关联。

netfilter/iptables的另一个重要优点是，它使用户可以完全控制防火墙配置和信息包过滤。你可以定制自己的规则来满足你的特定需求，从而只允许你想要的网络流量进入系统。

• 命令说明

iptables是用来设置、维护和检查linux内核的ip包过滤规则的。

　　可以定义不同个表，每个表都包含几个内部的链，也能包含用户定义的链。每个链都是一个规则列表，对和其相对应的包进行匹配：每条规则指定应当如何处理与之相匹配的包。这被称作“target”，也可以跳向同一个表内的用户定义的链。

　　targets

　　防火墙的规则指定所检查包的特征和目标。如果包不匹配，将送往该链中下一条规则检查；如果匹配，那么下一条规则则由目标值去确定。该目标值可以是用户定义的链名，或是某个专用值，如ACCEPT[通过],DROP[删除],QUEUE[排队]，或者 RETURN[返回]。

　　ACCEPT 表示让这个包通过。

　　DROP表示将这个包丢弃。

　　QUEUE表示把这个包传递到用户空间。

　　RETURN表示停止这条链的匹配，到前一个链的规则重新开始。如果到达了一个内建的链（的末端），或者遇到内建链的规则是RETURN，包的命运将由链准则指定的目标决定。

　　tables

　　当前有三个表。（哪个表是当前表取决于内核配置选项和当前模块）

　　iptables命令的-t选项指定要操作的匹配的表。如果内核被配置为自动加载模块，这时若没模块没有加载，（系统）将尝试（为该表）加载适合的模块。这些表如下：

　　filter，这是默认的表，包含了内建的链INPUT、FORWARD和OUTPUT。

　　nat，这个表被查询时表示遇到了产生新的连接的包，由三个内建的链构成：prerouting、output、postrouting。

　　mangle这个表用来对指定的包进行修改。他有两个内建的规则：prerouting和output。

ip数据包流向流程

iptables语法

iptables [- t table] {-A|-D|-R|-E|...|   action   } chain rule-specification

iptables后跟着需要操作的表名称，接着是链名称，但是需要指定对链操作的动作，再然后就是队则的指定，即各种命令选项的集合。

转自：百度百科 iptables

iptables中表，链，netfilter位置关系

5个链：PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。

PREROUTING:数据包进入路由表之前

INPUT:通过路由表后目的地为本机

FORWARDING:通过路由表后，目的地不为本机

OUTPUT:由本机产生，向外转发

POSTROUTIONG:发送到网卡接口之前

图片转自：http://www.linuxidc.com/Linux/2012-08/67505.htm

http://lyp0909.blog.51cto.com/508999/509408