iptables

iptables组成

• netfilter  真正实现包过滤防火墙的框架，工作在内核空间。

• iptables  工作在用户空间的防火墙规则管理工具。
  

netfilter工作原理

• 当一个IP数据包通过网卡进入主机后，首先到达PREROUTING链，之后根据数据包的目标IP地址进行路由选择。

• 如果目标IP是本机IP，数据包就向上层协议栈流动，经过INPUT链到达传输层。通过传输层进入用户空间，交给用户进程处理。

• 如果目标IP不是本机IP，数据包会经过FORWARD链和POSTROUTING链转发出去。

• 本机发出的数据包，经过路由选择后，进入OUTPUT链，再经过POSTROUTING链通过网卡流出。

iptables四表五链

表名	功能	包含的链
filter	过滤数据包	INPUT，OUTPUT，FORWARD
nat	网络地址转换	PREROUTING，OUTPUT，POSTROUTING
mangle	修改数据包的服务类型、TTL，并且可以配置路由实现QOS	PREROUTING，INPUT，OUTPUT，FORWARD，POSTROUTING
raw	决定数据包是否被状态跟踪机制处理	OUTPUT，POSTROUTING

iptables处理规则

• ACCEPT：允许数据包通过。

• DROP：直接丢弃数据包。

• REJECT：拒绝数据包，返回响应信息。

iptables语法

iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作]