iptables 是與最新的 2.6.x 版本 Linux 內核集成的 IP 信息包過濾系統。如果 Linux 系統連接到因特網或 LAN、服務器或連接 LAN 和因特網的代理服務器, 則該系統有利於在 Linux系統上更好地控制 IP 信息包過濾和防火牆配置。netfilter/iptables IP 信息包過濾系統是一種功能強大的工具,可用於添加、編輯和除去規則,這些規則是在做信息包過濾決定時,防火牆所遵循和組成的規則。這些規則存儲在專用的信息包過濾表中,而這些表集成在 Linux 內核中。在信息包過濾表中,規則被分組放在我們所謂的鏈(chain)中。雖然 netfilter/iptables IP 信息包過濾系統被稱為單個實體,但它實際上由兩個組件 netfilter和 iptables 組成。netfilter 組件也稱為內核空間(kernelspace),是內核的一部分,由一些信息包過濾表組成,這些表包含內核用來控制信息包過濾處理的規則集。iptables 組件是一種工具,也稱為用戶空間(userspace),它使插入、修改和除去信息包過濾表中的規則變得容易。netfilter/iptables 的最大優點是它可以配置有狀態的防火牆。有狀態的防火牆能夠指定並記住為發送或接收信息包所建立的連接的狀態。防火牆可以從信息包的連接跟蹤狀態獲得該信息。在決定新的信息包過濾時,防火牆所使用的這些狀態信息可以增加其效率和速度。netfilter/iptables 的另一個重要優點是,它使用戶可以完全控制防火牆配置和信息包過濾。您可以定制自己的規則來滿足您的特定需求,從而只允許您想要的網絡流量進入系統。
filter point filter nat mangle
--------------------------------------------------------------------------------------------
INPUT x x
FORWARD x x
OUTPUT x x x
PREROUTING x x
POSTROUTING x x
[root@localhost ~]# which iptables
/sbin/iptables
[root@localhost ~]# rpm -qf `whichiptables`
iptables-1.3.5-5.3.el5_4.1
[root@localhost ~]# ls/lib/modules/`uname -r`/kernel/net/ipv4/netfilter/ ( ko 內核模塊 kernel
object)
arptable_filter.ko ip_conntrack_tftp.ko iptable_nat.ko ipt_MASQUERADE.ko
arp_tables.ko ip_nat_amanda.ko iptable_raw.ko ipt_NETMAP.ko
arpt_mangle.ko ip_nat_ftp.ko ip_tables.ko ipt_owner.ko
ip_conntrack_amanda.ko ip_nat_h323.ko ipt_addrtype.ko ipt_recent.ko
ip_conntrack_ftp.ko ip_nat_irc.ko ipt_ah.ko ipt_REDIRECT.ko
ip_conntrack_h323.ko ip_nat.ko ipt_CLUSTERIP.ko ipt_REJECT.ko
ip_conntrack_irc.ko ip_nat_pptp.ko ipt_dscp.ko ipt_SAME.ko
ip_conntrack.ko ip_nat_sip.ko ipt_DSCP.ko ipt_TCPMSS.ko
ip_conntrack_netbios_ns.ko ip_nat_snmp_basic.ko ipt_ecn.ko ipt_tos.ko
ip_conntrack_netlink.ko ip_nat_tftp.ko ipt_ECN.ko ipt_TOS.ko
ip_conntrack_pptp.ko ip_queue.ko ipt_hashlimit.ko ipt_ttl.ko
ip_conntrack_proto_sctp.ko iptable_filter.ko ipt_iprange.ko ipt_TTL.ko
ip_conntrack_sip.ko iptable_mangle.ko ipt_LOG.ko ipt_ULOG.ko
RHEL6 模塊不能加載到 RHEL5(回憶加載模塊)
===============================================================================
iptables [-t table] -A chain rule-specification
-A, --append
iptables [-t table] -I chain[rulenum] rule-specification
-I, --insert
iptables [-t table] -D chain rulenum
-D, --delete
iptables [-t table] {-F|-L} [chain[rulenum]] [options...]
-F, --flush
-L, --list
iptables [-t table] -P chain target
-P, --policy
Rule :DROP,ACCEPT,LOG,REJECT
TARGETS
ACCEPT, DROP, QUEUE ,RETURN
TARGET EXTENSIONS DNAT,LOG, MASQUERADE, REJECT, SNAT ... ... ...
