iptables只是管理包过滤规则的工具,可以添加或删除包过滤的规则,真正执行包过滤规则的是netfilter

netfilter是Linux核心中的一个通用架构,内部提供一些列的表,每个表由若干条链组成,每条链由一条或多条规则组成,也就是我们常说的四表五链

四表

filter表        负责包过滤

nat表          负责网络地址转换

mangle表    负责包的重构

raw表          负责数据跟踪处理

五链

INPUT链        负责进来的数据包的规则

OUTPUT链        负责外出的数据包的规则

FORWARD链        负责转发时的规则

PREROUTING链        负责路由前的规则,也就是数据包进来的时候处理

POSTROUTING链        负责路由后的规则,也就是数据包出来的时候再处理

iptables工作原理

当数据包进入系统时,系统首先会根据路由表决定将数据包发给哪一条链,常见的情况有3种

第1种,入站的数据包

       从外界到达防火墙的数据包先被PREROUTING链处理,再经过INPUT链

               如果匹配到规则,就发给相应的本地进程处理

               如果没匹配到规则,就丢弃这个数据包

第2种,转发的数据包

       从外界到达防火墙的数据包先走PREROUTING链,再走FORWARD链,最后再交给POSTROUTING链,匹配到规则就处理,匹配不到则丢弃

第3种,出站的数据包

       防火墙本机向外部发送的数据包先走OUTPUT链,之后交给POSTROUTING链处理

防火墙配置

iptables -t 表名 -vnL        -- 查看防火墙规则

-t    指定表名(默认filter表)

-v    详细信息

-n    ip以数字形式展示

-L    列表形式

iptables -t 表名 -操作 链名 -对象 (协议 端口 源/目ip) -j 动作

操作:

-A    添加规则

-I    插入规则

-D    删除规则

对象:

-s    源ip

-d    目标ip

-sport    源端口

-dport    目标端口

动作:

ACCEPT    接受

REJECT    拒绝

DROP    丢弃

SNAT    源地址转换

DNAT    目标地址转换