一.iptables 简介
iptables防火墙是由Netfilter项目开发的,iptables提供了全面的协议状态跟踪、数据包的应用层检查、速率限制、指定策略过滤等。而iptables使用Netfilter框架进行过滤。Netfilter本身不对数据包进行过滤---它只是允许可以过滤数据包的函数挂接到内核的位置。
二.iptables的过滤策略
iptables策略是由一组有序的规则建立的。其中体现在五表五链(其中security表是新加入的)
表:1.filter(主要功能是过滤)
2.nat(用于网络转换SNAT和DNAT)
3.mangle(修改分组数据的特定规则)
4.raw(独立于Netfilter连接跟踪子系统起作用的规则)
链:
每个表都有自己的一组内置链,而链就在数据包流经的必经之路上,上图可见。
1.INPUT链:当数据包要由内核流向Linux系统中必将经过INPUT链的检查,当然检查的规则是各个表上的规则。
2.OUTPUT链:linux 系统自己生成的数据包流出本机。
3.FORWARD链:管理经过Linux系统路由的数据包。
4.