iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置iptables将会帮助你更有效地管理Linux防火墙。
如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工作原理,你会发现其实它很简单。建议先看看IPTABLES基础知识。
首先介绍iptables的结构:iptables -> Tables -> Chains -> Rules. 简单地讲,tables由chains组成,而chains又由rules组成。如下图所示。
一、iptables的表与链
Iptables结构的三个主要的内建表及包含的链
iptables具有Filter, NAT,Mangle, Raw四种内建表:
1. Filter表
Filter表示iptables的默认表,因此如果你没有自定义表,那么就默认使用filter表,它具有以下三种内建链:
n INPUT链– 处理来自外部的数据。
n OUTPUT链– 处理向外发送的数据。
n FORWARD链– 将数据转发到本机的其他网卡设备上。
2. NAT表
NAT表有三种内建链:
n PREROUTING链– 处理刚到达本机并在路由转发前的数据包。它会转换数据包中的目标IP地址(destination ip address),通常用于DNAT(destination NAT)。
n POSTROUTING链– 处理即将离开本机的数据包。它会转换数据包中的源IP地址(source ip address),通常用于SNAT(source NAT)。
n OUTPUT链– 处理本机产生的数据包。
3. Mangle表
Mangle表用于指定如何处理数据包。它能改变TCP头中的QoS位。Mangle表具有5个内建链:
n PREROUTING
n OUTPUT
n FORWARD
n INPUT
n POSTROUTING
4. Raw表
Raw表用于处理异常,它具有2个内建链:
n PREROUTING chain
n OUTPUT chain
二、IPTABLES 规则(Rules)
牢记以下三点式理解iptables规则的关键:
Rules包括一个条件和一个目标(target)
如果满足条件,就执行目标(target)中的规则或者特定值。
如果不满足条件,就判断下一条Rules。
目标值(Target Values)
下面是你可以在target里指定的特殊值:
ACCEPT –允许防火墙接收数据包
DROP –防火墙丢弃包
QUEUE –防火墙将数据包移交到用户空间
RETURN –防火墙停止执行当前链中的后续Rules,并返回到调用链(the calling chain)中。
如果你执行iptables --list你将看到防火墙上的可用规则。下例说明当前系统没有定义防火墙,你可以看到,它显示了默认的filter表,以及表内默认的input链, forward链, output链。