7.3.1 Netfilter/ iptables简介 netfilter/ tables允许为防火墙建立可定制的规则来控制数据包过滤,并且还允许配置有 状态的防火墙 netfilter/iptables还可以实现NAT(网络地址转换)和数据包的分割等功能 netfilter组件也称为内核空间。 iptables组件是一种工具,也称为用户空间,它使插入、修改和删除数据包过滤表中的 规则变得容易。 使用用户空间( iptables)构建自己定制的规则,这些规则存储在内核空间的过滤表中 这些规则中的目标告诉内核,对满足条件的数据包采取相应的措施 根据规则处理数据包的类型,将规则添加到不同的链中。 处理入站数据包的规则被添加到 INPUT链中 处理出站数据包的规则被添加到 OUTPUT链中。 处理正在转发的数据包的规则被添加到 FORWARD链中 这三个链是数据包过滤表( filter)中内置的缺省主规则链。每个链都可以有一个策略, 即要执行的缺省操作,当数据包与链中的所有规则都不匹配时,将执行此操作(理想的策略 应该丢弃该数据包)。 数据包经过 filter表的过程如图743所示 FORWARD链 出数据包 NPUT链 地处理进程 图743数据包经过Fite表的过程 7.32 iptables的语法及其使用 添加、删除和修改规则的命令语法如下: #iptables [-t table] command [match[target It table]有三种可用的表选项: filter、nat和 mangle。该选项不是必需的,如未指定 则 filter作为缺省表。 filter表用于一般的数据包过滤,包含 INPUT、 OUTPUT和 FORWARD链 at表用于要转发的数据包,包含 PREROUTING、 OUTPUT和 POSTROUTING链。 mangle表用于数据包及其头部的更改,包含 PREROUTING和 OUTPUT链。 command是 iptables命令中最重要的部分,它告诉 iptables命令要进行的操作,如插入 规则、删除规则、将规则添加到链尾等等。常用的一些命令见表7-3: 表7-3 iptables常用命令 操作命令7.3.1 Netfilter/iptables 简介 netfilter/iptables 允许为防火墙建立可定制的规则来控制数据包过滤，并且还允许配置有 状态的防火墙。 netfilter/iptables 还可以实现 NAT（网络地址转换）和数据包的分割等功能。 netfilter 组件也称为内核空间。 iptables 组件是一种工具，也称为用户空间，它使插入、修改和删除数据包过滤表中的 规则变得容易。 使用用户空间（iptables）构建自己定制的规则，这些规则存储在内核空间的过滤表中。 这些规则中的目标告诉内核，对满足条件的数据包采取相应的措施。 根据规则处理数据包的类型，将规则添加到不同的链中。 处理入站数据包的规则被添加到 INPUT 链中。 处理出站数据包的规则被添加到 OUTPUT 链中。 处理正在转发的数据包的规则被添加到 FORWARD 链中。 这三个链是数据包过滤表（filter）中内置的缺省主规则链。每个链都可以有一个策略， 即要执行的缺省操作，当数据包与链中的所有规则都不匹配时，将执行此操作（理想的策略 应该丢弃该数据包）。 数据包经过 filter 表的过程如图 7-43 所示。 图7-43 数据包经过Filter表的过程 7.3.2 iptables 的语法及其使用 添加、删除和修改规则的命令语法如下： #iptables [-t table] command [match] [target] 1．table [-t table]有三种可用的表选项：filter、nat 和 mangle。该选项不是必需的，如未指定， 则 filter 作为缺省表。 filter 表用于一般的数据包过滤，包含 INPUT、OUTPUT 和 FORWARD 链。 nat 表用于要转发的数据包，包含 PREROUTING、OUTPUT 和 POSTROUTING 链。 mangle 表用于数据包及其头部的更改，包含 PREROUTING 和 OUTPUT 链。 2．command command 是 iptables 命令中最重要的部分，它告诉 iptables 命令要进行的操作，如插入 规则、删除规则、将规则添加到链尾等等。常用的一些命令见表 7-3： 表 7-3 iptables 常用命令 操作命令 功能