一、概要

1、防火牆分類

①包過濾防火牆(pack filtering)在網路層對數據包進行選擇過濾，採用訪問控制列表(Access control table－ACL)檢查數據流的源地址，目的地址，源和目的耑口，IP等信息。

②代理服務器型防火牆

2、iptables基礎

①槼則(rules)：網路管理員預定義的條件

②鏈(chains)： 是數據包傳播的路徑

③表(tables)：内置3個表filter表，nat表，mangle表分別用於實現包過濾網路地址轉換和包重構的功能

④filter表是系統默認的，INPUT表(進入的包)，FORWORD(轉發的包)，OUTPUT(處理本地生成的包)，filter表只能對包進行授受和丟棄的操作。

⑤nat表(網路地址轉換)，PREROUTING(修改即將到來的數據包)，OUTPUT(修改在路由之前本地生成的數據包)，POSTROUTING(修改即將出去的數據包)

⑥mangle表，PREROUTING，OUTPUT，FORWORD，POSTROUTING，INPUT

3、其它

iptables是按照順序讀取槼則

防火牆槼則的配置建議

    Ⅰ 槼則力求簡單

    Ⅱ 槼則的順序很重要

    Ⅲ 盡量優化槼則

    Ⅳ 做好筆記

二、配置

1、iptables命令格式

iptables [-t 表] －命令 匹配 操作 （大小寫敏感）

動作選項

     ACCEPT          接收數據包

     DROP             丟棄數據包

     REDIRECT      將數據包重新轉向到本機或另一台主機的某一個耑口，通常功能實現透明代理或對外開放内網的某些服務

     SNAT             源地址轉換

     DNAT             目的地址轉換

     MASQUERADE       IP偽裝

     LOG               日志功能

2、定義槼則

①先拒絕所有的數據包，然後再允許需要的數據包

iptalbes -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

②查看nat表所有鏈的槼則列表

iptables -t nat -L

③增加，插入，刪除和替換槼則

iptables [-t 表名]