iptables防火墙

一、 防火墙的一些基本概念

1、 网络中的防火墙就是一种将内网和外网分开的方法，指一种个技术。

2、 防火墙分为硬件防火墙和软件防火墙，如果按假设的位置可以分为主机防火墙和网关防火墙。

3、 Linux操作系统中默认内置的一个软件防火墙，即iptables防火墙，iptables被置于linux的内核中，而iptables这个命令是位于/sbin目录里。

4、 链就是一堆规则的组名。

5、 规则就是 如何处理数据包。

6、 规则表就是容纳各种规则链。

二、 iptables中的四表五链

1、 四表：

Raw表;确定是否对数据包进行状态跟踪。包括PREROUTING链和OUTPUT链

Mangle表：为数据设置标记。包括PREROUTING链、POSTROUTING链、INPUT链、OUTPUT链、FORWORD链

Nat表：修改数据包中的源、目标IP地址或端口。包括PREROUTING链、POSTROUTING链、OUTPUT链

Filter表：确定是否被方形该数据包（过滤）。包括INPUT链、FOTWARD链、OUTPUT链

2、 五链：

INPUT:处理入站数据包

OUTPUT:处理出站数据包

FORWARD:处理转发数据包

POSTROUTING:在进行路由选择后处理数据包

PREROUTING:在进行路由选择前处理数据包

3、 顺序：

规则表的顺序：raw‎        mangle           nat           filter

规则链的顺序：入站PREROUTING                INPUT

                        出战OUTPUT         POSTROUTING

转发PREOUTING       FORWARD          POSTROUTIN

三、 iptables 命令

另外修改规则必须和链规则相反

1、 语法构成

iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]

不指定表名时，默认指filter表。

不指定链名时，默认指表内的所有链。

选项、链名、控制类型使用大写字母，其余均小写

2、 数据包的常见控制类型

ACCEPT:允许通过

DROP:直接丢弃，不给任何回应

REJECT;拒绝通过，必要时给出提示

LOG;记录日志信息，然后u传给下一条规则继续匹配

3、 常用选项

-A ;在链的末尾追加一条规则

-I ：在链的开头插入一条规则

-L：列出所有的规则条目

-n:以数字形式显示地址、端口等信息

-v：一更详细的方式显示规则的信息

-D：删除链内制定序号的一条规则

--line-numbers:查看规则时，显示规则的序号，--line与之同效

-F清空所有的规则但是不包括链规则

-R：修改替换规则

-P;为指定的链设置默认规则

-p:加协议名，进行协议的匹配

Ping的协议为icmp协议

地址的匹配：-s ：源地址  -d：目的地址

接口的匹配：-I ：入站网卡 -o：出站网卡

端口的匹配： - -sport :源端口 - -dport :目的端口

四、 iptables的应用

1、 SNAT策略

SNAT的作用：是在出路由后进行源地址转换和修改数据包的源地址

企业共享上网的前提条件：

1、局域网各主机正确设置IP地址/子网掩码

2、局域网各主机正确设置默认网关

3、Linux网管支持IP路由转发

2、 DNAT策略

DNAT的作用：是在进路由前进行目的地址转换和修改数据包的目的地址

实验前提条件：

1、局域网的Web服务器能够访问Internet

2、网关的外网IP地址有正确的DNS解析记录

3、Linux网关支持IP路由转发

五、iptables防火墙规则的备份与还原

    防火墙的配置文件/etc//sysconfig/iptables

备份规则 iptables-save

Iptables-save > /etc/sysconfig/iptables

还原规则 iptables-restore

iptables-restore < /etc/sysconfig/iptables

验证防火墙：看是否有人修改规则

iptables-save > /tmp/iptables.bak

 ms5sum /tmp/iptables.bak