##################1.iptables简述###############################################
iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的”安全框架”中,这个”安全框架”才是真正的防 火墙,这个框架的名字叫netfilter.
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信 息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 信息包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。
netfilter/iptables(下文中简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案, 完成封包过滤、封包重定向和网络地址转换(NAT)等功能。
Netfilter是Linux操作系统核心层内部的一个数据包处理模块,它具有如下功能: 网络地址转换(Network Address Translate) 数据包内容修改 以及数据包过滤的防火墙功能
所以说,虽然我们使用service iptables start启动iptables”服务”,但是其实准确的来说,iptables并没有一个守护进程,所以并不能算是真正意义上的服务,而应该算是内核提供的功能。
###############################2.iptables基本命令##################################
iptables -nL查看火墙信息
-F 刷新策略,临时清空表的信息
-t 指定操作的表
-P 默认规则
-A 自己添加的规则 (从上到下依次读取策略,上面的满足了,就不读取下面的 )
-I 插入,可以指定添加所在位置
-R 修改策略
-n 表示不做解析
-L 查表的策略信息
-p 协议
-D 删除链上的制定规则
-N 自动以添加链名
-E 修改规则链名称
-X 删除自定义链
一·iptables的开启服务
[root@localhost ~]# systemctl stop firewalld ##关闭火墙
[root@localhost ~]# systemctl disable firewalld ##开机自动关闭
[root@localhost ~]# systemctl start iptables.service ##开启iptables服务
[root@localhost ~]# systemctl enable iptables.service ##开机自动开启