iptables基础

2007-05-14 02:09:35

iptables是一套LINUX下免费的包过滤防火墙，可以进行包过滤，包重定向，地址转换等功能，可以替代部分商业防火墙。其实很多所谓的硬件防火墙也就是一个linux核心+类似的程序做出来的。有人说iptables做出来的防火墙可以替代十万以内的硬件防火墙。

iptables最核心的内容是表，一共有三张表：filter、nat、mangle。

filter：过滤数据包，允许接受或者丢弃数据包。
nat：数据包的地址转换，允许修改数据包的源和目标地址、端口等。
mangle：此表一般利用不多，暂时不说

iptables第二核心的内容是链，其实就是每个表里的进口、中转、出口的位置，我们所写的防火墙规则就是针对这些位置的。

filter：包括INPUT、OUTPUT链，这两个链针对到iptables所在服务器的包进行过滤。
nat：包括PREROUTING、FORWARD、POSTROUTING链

下面我以一个包从进入服务器到出服务器的流程，做一下表和链的功能：
假设服务器有两块网卡eth0和eth1，现在一个数据包从eth0进入前往eth1

可以看到在PREROUTING链处进行了判断是本地包还是外地包，本地的进入filter表过滤，外地的进入nat表转换。
iptables的所有功能实现完全基于上图所示，其实高深的技术看透本质，也是很简单的。

相关文章

文章评论