Linux之iptables

Linux之iptables

iptables的定义

• iptables的维基百科。
• iptables是一个user space实用程序，允许system administrator配置Linux Kernel Firewall(实现为不同的Netfilter模块)提供的table以及它存储的链和规则。目前不同的内核模块和程序用于不同的协议；iptables适用于IPv4，ip6tables适用于IPv6，arptables适用于ARP，ebtables适用于以太网帧。
• iptables需要提升权限才能运行，必须由root用户执行，否则无法运行。在大多数Linux系统上，iptables安装为/usr/sbin/iptables并记录在其手册页中(man page)，可以man iptables在安装时使用它们打开。它也可以/sbin/iptables中找到，但由于iptables像是服务而不是”基本二进制”，因此首选位置仍为/usr/sbin。
• centos的iptables位置图如下：

• ubuntu的iptables位置图如下:

• 测试操作用例：

jackdan@jackdan-ThinkPad-T430:~$ man iptables

• 测试效果图如下：

• 术语iptables也常用于包含性地引用内核级组件。x_tables是内核模块的名称，该模块承载所有四个模块使用的共享代码部分，该模块还提供用于扩展的API；随后，Xtables或多或少地用于指代整个防火墙(v4, v6, arp和eb)架构。

---

iptables的使用

• iptables的配置使用。配置的实例如下：

[root@lg-jump-server-vg3euscvjacn ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Tue Sep 11 19:43:29 2018
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [26:2544]
-A INPUT -p tcp -m tcp --dport 9696 -j ACCEPT 
-A INPUT -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 5000 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 35357 -j ACCEPT 
-A FORWARD -d 172.16.10.2/32 -j ACCEPT 
-A FORWARD -d 172.16.10.2/32 -j ACCEPT 
-A FORWARD -j ACCEPT 
-A OUTPUT -p tcp -m tcp --sport 5000 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --sport 35357 -j ACCEPT 
COMMIT
# Completed on Tue Sep 11 19:43:29 2018
# Generated by iptables-save v1.4.7 on Tue Sep 11 19:43:29 2018
*nat
:PREROUTING ACCEPT [14:2064]
:POSTROUTING ACCEPT [4:302]
:OUTPUT