Linux系统运维的防火墙（一）

　　iptables基础通过为防火墙提供有关对来自某个源、到某个目的地或具有特定协议类型的信息包要执行操作的指令及规则控制信息包的过滤。通过使用用Netfilter/iptables 操作系统提供的特殊命令iptables建立这些规则,并将其添加到内核空间的特定信息包过滤表内的链中。添加、除去及编辑规则的命令的一般语法如下siptablesi-ttable)command(matchi[target大部分规则都是按这种语法写的,如果不想用标准的表,就要在“table”处指定表名。

　　一般有必要指定使用的表,因为ipt况下没有默认使用Filter表来执行所有的命令。也没始处必须在这里指定表名,实际上几乎可在规则的任何处指定表名。当然,把表名放在是的定俗成的标准,尽管命令总是放在开头,或者放在表名后面,用户也要考虑到底放在更为易读。

　　command:告诉应用程序该做什么,比如插入一个规则、在链的末尾增加一个规则,或者删除一个规则。

　　match:描述包的某个特点,以使这个包区别于其他所有的包,可以指定包的来源R地址、网络接口、端口、协议类型或者其他内核使用target来处理它,或者说把包发往target,比如如若数据包符合所有的以让内核把包发送到当前表中的其他链(可能是自己建立的),或者只是丢弃这个包而不做任何处理,或者者向发送者返回某个特殊的应答,Netfilteriptables内核空间默认的表和链内核空间默认的表和锥表名功能述名表功能描送转发数据包FORWARD包过滤INPUT处理避入防火的数据包Filter处理防火墙发出的数据包OUTPUTPREROUTING主要用于一个合法的P地址,要把对防大墙的访问重定向到其他的机器上(比如DMZ)。

　　即改变的是日的PREROUTINGNAT表的主用处是网络地地址,以使包能重路由到某台主机POSTROUTING的作用和MASQUERADE完全一样,只是计量转换,包括1PPOSTROUTING 计算机的负荷微多一点。因为对每个四配的包,MASQUERADENAT和和P伪装都要查找可用的IP地址,而SNAT用的IP地址是配置好的网络地址换用于防火墙产生的数据包,不常使用OUTPUT改变不同的包及包头的内容,比如TTL、TOS或MARKPREROUTINGPOSTROUTINGOUTPUTTCP头修改注意,MARK并没有真正地改动数据包,它只是在内核空问为INPUTFORWARD包设了一个标记。

　　防火墙内的其他规则或程序可以使记对包行级溶由,不需使用下面逐个讨论这些选项1)tabletable)选项允许使用标准表之外的任何表,表是包含仅处理特定类型信息包的规则和链的信息包过滤表。有3种可用的表选项,即Fier、NAT和Mangle,该选项不是必需的,如果未指定,则Filter用作默认表。

　　小编结语：其实，FiltFitr表用来过滤数据包,可以在任何时候匹配包并将其过滤滤,根据包的内容对包做DROP或ACCEPT,当然也可以预先在其他处做一些过滤,但是这个表才是设计用来过滤的。几乎所有的target都可以在此使用。