Linux软件防火墙iptables

  iptables工具用来设置、维护和检查Linux内核的IP包过滤规则。filter、NAT和mangle表可以

包含多个链(chain)、每个链可以包含多条规则(rule)。iptables主要对表(table)、链(chain)和规则

(rule)进行管理

  iptables预定义了5个链,分别对应netfilter的5个钩子函数,这5个链分别是:INPUT链、

FORWARD链、OUTPUT链、PREROUTING链、POSTROUTING链

  iptables指令语法如下:

    iptables [-t table]  command [match] [-j target/jump]

其中“-t table”参数用来指定规则表,内建的规则表分别为nat、mangle和filter,当未指定规则表时,

默认为filter.各个规则表的功能如下:

  nat:此规则表主要针对PREOUTING和POSTROUTING两个规则链,主要功能为进行源地址

      或目的地址的网络地址转换工作(SNAT,DNAT)

  mangle:此规则表主要针对PREROUTING、FORWARD和POSTROUTING 3个规则链,

       某些特殊应用可以在此规则表里设定,比如为数据包做标记

  filter:这个规则表是默认规则表,针对INPUT、FORWARD和OUTPUT 3个规则链,这个

    规则链表主要用来进行封包过滤的处理动作,如DROP、LOG、ACCEPT或REJECT。

案例如下

  其中 “-t filter” 表示该规则作用于filter表,“-A”表示新增规则, “-s“表示IP段选项, ”-j“ 表示指定动作。

该规则表示在filter表FORWARD链上新增一条规则,发往192.168.19.0/24网段的包采取丢弃操作,如要

查看某个表下的各个链的信息可以使用”iptables -nL“

  要使Linux系统成为网络防火墙,还需要启用Linux的网络转发功能,如需要使系统启动时就具有该功能,

可以将下面的命令写入到 /etc/rc.d/rc.local中,命令如下;

 

posted @ 2018-10-13 00:34 吾名墨嗔 Views(...) Comments(...) Edit 收藏