Iptables
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。
iptables的规则表和链:
表(tables)提供特定的功能,iptables内置了4个表filter表、nat表、mangle表和raw表,分别用于实现包过滤,网络地址转换、包重构(修改)和数据跟踪处理。
链(chains)是数据包传播的路径,每一条链其实就是众多规则中的一个检查清单,每一条链中可以有一 条或数条规则。当一个数据包到达一个链时,iptables就会
从链中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据 该条规则所定义的方法处理该数据包;否则iptables将继续检查下一条规则,
如果该数据包不符合链中任一条规则,iptables就会根据该链预先定 义的默认策略来处理数据包。
PREROUTING (路由前)
INPUT (数据包流入口)
FORWARD (转发管卡)
OUTPUT(数据包出口)
POSTROUTING(路由后)
ebtables
ebtables和iptables类似,都是Linux系统下网络数据包过滤的配置工具,也有5个链。
ebtables即是以太网桥防火墙,以太网桥工作在数据链路层,ebtables来过滤数据链路层数据包。
# ebtables -L 显示规则
# ebtables -A 添加规则
# ebtables -F :对所有的规则表的规则链清空。