iptables工具用来设置、维护和检查Linux内核的IP包过滤规则。filter、NAT和mangle表可以
包含多个链(chain)、每个链可以包含多条规则(rule)。iptables主要对表(table)、链(chain)和规则
(rule)进行管理
iptables预定义了5个链,分别对应netfilter的5个钩子函数,这5个链分别是:INPUT链、
FORWARD链、OUTPUT链、PREROUTING链、POSTROUTING链
iptables指令语法如下:
iptables [-t table] command [match] [-j target/jump]
其中“-t table”参数用来指定规则表,内建的规则表分别为nat、mangle和filter,当未指定规则表时,
默认为filter.各个规则表的功能如下:
nat:此规则表主要针对PREOUTING和POSTROUTING两个规则链,主要功能为进行源地址
或目的地址的网络地址转换工作(SNAT,DNAT)
mangle:此规则表主要针对PREROUTING、FORWARD和POSTROUTING 3个规则链,
某些特殊应用可以在此规则表里设定,比如为数据包做标记
filter:这个规则表是默认规则表,针对INPUT、FORWARD和OUTPUT 3个规则链,这个
规则链表主要用来进行封包过滤的处理动作,如DROP、LOG、ACCEPT或REJECT。
案例如下
其中 “-t filter” 表示该规则作用于filter表,“-A”表示新增规则, “-s“表示IP段选项, ”-j“ 表示指定动作。
该规则表示在filter表FORWARD链上新增一条规则,发往192.168.19.0/24网段的包采取丢弃操作,如要
查看某个表下的各个链的信息可以使用”iptables -nL“
要使Linux系统成为网络防火墙,还需要启用Linux的网络转发功能,如需要使系统启动时就具有该功能,
可以将下面的命令写入到 /etc/rc.d/rc.local中,命令如下;
