【正文】 用來(lái)指定netfilter規(guī)則和管理內(nèi)核包過(guò)濾的工具，用戶通過(guò)它來(lái)創(chuàng)建、刪除或插入鏈，并可以在鏈中插入、刪除和修改過(guò)濾規(guī)則。iptables僅僅是一個(gè)包過(guò)濾工具，對(duì)過(guò)濾規(guī)則的執(zhí)行則是通過(guò)netfilter和相關(guān)的支持模塊來(lái)實(shí)現(xiàn)的。 Linux防火墻的安裝、啟動(dòng)和關(guān)閉iptables防火墻內(nèi)置于RedHat系統(tǒng)內(nèi)核中，所以它是隨系統(tǒng)的安裝而自動(dòng)安裝的?？墒褂萌缦旅顧z查是否已安裝（如下圖）：圖12 檢查iptables是否安裝安裝RHEL 4 AS時(shí)系統(tǒng)會(huì)提示是否開(kāi)啟防火墻，默認(rèn)情況下將開(kāi)啟防火墻。由于系統(tǒng)的防火墻功能是使用iptables實(shí)現(xiàn)的，因此系統(tǒng)會(huì)根據(jù)用戶的設(shè)置在iptables中添加相應(yīng)的規(guī)則。如果在安裝時(shí)選擇禁用防火墻，則在安裝完成后可在終端命令窗口中執(zhí)行“setup”命令將彈出“配置應(yīng)用程序” 窗口（如下圖13）。圖13 “配置應(yīng)用程序”窗口選擇Firewall configuration選項(xiàng)，則會(huì)進(jìn)入防火墻配置窗口如圖14。圖14 “防火墻配置”窗口圖15 “防火墻配置－定制”窗口 完成以上配置后，可在終端命令窗口中執(zhí)行如下命令啟動(dòng)iptables防火墻如圖16：圖16 啟動(dòng)iptables防火墻第二章 iptables簡(jiǎn)介 iptables的基本概念在使用iptables之前我們先要理解規(guī)則、鏈、表這3個(gè)概念以及iptables傳輸數(shù)據(jù)包的過(guò)程。216。 規(guī)則 規(guī)則(rules)就是網(wǎng)絡(luò)管理員預(yù)先定義的條件，每條規(guī)則的定義方式一般是“如果封包符合這樣的條件就這樣處理該數(shù)包”。216。 鏈 鏈(chains)是數(shù)據(jù)包傳輸?shù)穆窂?，每一條鏈中可以有一條或數(shù)條規(guī)則。216。 表 iptables內(nèi)置了filter表、nat表和mangle表用于實(shí)現(xiàn)包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換和包重構(gòu)的功能。（1）filter表filter表是iptables默認(rèn)的表，如果沒(méi)有指定使用哪個(gè)表，iptables默認(rèn)使用filter表來(lái)執(zhí)行所有的命令。filter表根據(jù)系統(tǒng)管理員預(yù)定義的一組規(guī)則過(guò)濾符合條件的數(shù)據(jù)包。在filter表中只允許對(duì)數(shù)據(jù)包進(jìn)行接收、丟棄的操作，而無(wú)法對(duì)數(shù)據(jù)包進(jìn)行更改。（2）nat表nat表主要是用于網(wǎng)絡(luò)地址轉(zhuǎn)換NAT，該表可以實(shí)現(xiàn)一對(duì)一、一對(duì)多、多對(duì)多等NAT工作。NAT表包含了PREROUTING鏈、OUTPUT鏈和POSTROUTING鏈。其中PREROUTING鏈用于處理剛剛進(jìn)入網(wǎng)絡(luò)層未進(jìn)行路由判斷的數(shù)據(jù)包，OUTPUT鏈用于處理在路由之前本地生成的數(shù)據(jù)包，POSTROUTING鏈處理在路由判斷之后即將通過(guò)網(wǎng)卡發(fā)送出去的數(shù)據(jù)包。（3）mangle表某些特殊應(yīng)用可能需要改寫(xiě)數(shù)據(jù)包的一些傳輸特性，例如更改數(shù)據(jù)包的TTL和TOS等，mangle表主要用于對(duì)指定包的傳輸特性進(jìn)行修改。 iptables數(shù)據(jù)包的傳輸過(guò)程數(shù)據(jù)包通過(guò)iptables的具體流程如圖21所示。圖21　iptables數(shù)據(jù)包傳輸?shù)倪^(guò)程由圖可知，當(dāng)一個(gè)數(shù)據(jù)包進(jìn)入計(jì)算機(jī)的網(wǎng)絡(luò)接口時(shí)，數(shù)據(jù)首先進(jìn)入POSTROUTING鏈，然后內(nèi)核根據(jù)路由表決定數(shù)據(jù)包的目標(biāo)。若數(shù)據(jù)包的目的地址是本機(jī)，則將數(shù)據(jù)包送往INPUT鏈進(jìn)行規(guī)則檢查，當(dāng)數(shù)據(jù)包進(jìn)入INPUT鏈后，系統(tǒng)的任何進(jìn)程都會(huì)收到它，本機(jī)上運(yùn)行的程序可以發(fā)送該數(shù)據(jù)包，這些數(shù)據(jù)包會(huì)經(jīng)過(guò)OUTPUT鏈，再POSTROUTING鏈發(fā)出；若數(shù)據(jù)包的目的地址不是本機(jī)，則檢查內(nèi)核是否允許轉(zhuǎn)發(fā)，若允許，則將數(shù)據(jù)包送FORWARD鏈進(jìn)行規(guī)則檢查，若不允許，則丟棄該數(shù)據(jù)包。若是防火墻主機(jī)本地進(jìn)程產(chǎn)生并準(zhǔn)備發(fā)出的包，則數(shù)據(jù)包被送往OUTPUT鏈進(jìn)行規(guī)則檢查。 激活I(lǐng)P包轉(zhuǎn)發(fā)功能如果要把Linux配置成網(wǎng)關(guān)防火墻，內(nèi)核必須打開(kāi)IP包轉(zhuǎn)發(fā)功能（即路由功能），這樣一個(gè)數(shù)據(jù)包才能被送到FORWARD鏈進(jìn)行規(guī)則檢查，否則與防火墻相連的兩邊的網(wǎng)絡(luò)是完全隔離的。打開(kāi)Linux內(nèi)核包轉(zhuǎn)發(fā)功能，可使用以下命令來(lái)實(shí)現(xiàn) [root@local ~] echo “1” /proc/sys/net/ipv4/ip_forward 上述命令只是一次性有效，為了讓主機(jī)每次開(kāi)機(jī)后都自動(dòng)激活I(lǐng)P數(shù)據(jù)包轉(zhuǎn)發(fā)功能，可以采用編輯配置文件/etc/，將其中的語(yǔ)句：=0 =1執(zhí)行如下命令： [root@local ~] sysctl p即可讓系統(tǒng)啟動(dòng)后自動(dòng)打開(kāi)內(nèi)核的包轉(zhuǎn)發(fā)功能。上述操作也可以通過(guò)執(zhí)行下列命令來(lái)實(shí)現(xiàn)相應(yīng)功能：[root@local ~] sysctl w =”1”[root@local ~] sysctl p還可以/etc/sysconfig/network配置文件中，通過(guò)以下配置項(xiàng)來(lái)開(kāi)啟內(nèi)核的包轉(zhuǎn)發(fā)功能：FORWARD_IPV4＝true第三章 iptables的使用 iptables的命令格式iptables用于創(chuàng)建、維護(hù)和檢查L(zhǎng)inux內(nèi)核的IP包過(guò)濾規(guī)則，利用該命令可創(chuàng)建、刪除或更名鏈，在鏈中創(chuàng)建或刪除規(guī)則，設(shè)置鏈的策略等，功能很強(qiáng)大，用法也比較多，其命令基本格式為：iptables [t 表名] 命令選項(xiàng) [鏈] [匹配選項(xiàng)] [操作選項(xiàng)]1. 表名選項(xiàng)“t　表名”用來(lái)選擇要操作的表，表名可以是 filter，nat，mangle三者之一，如該參數(shù)缺省則默認(rèn)為filter表。2. 命令選項(xiàng)命令選項(xiàng)用來(lái)指定對(duì)鏈或規(guī)則的操作，包括插入、刪除、添加規(guī)則等。 iptables的主要命令選項(xiàng)如表31所示。表31 iptables的主要命令選項(xiàng)3. 鏈名選項(xiàng)“鏈”指定要操作的鏈名，除使用系統(tǒng)定義的鏈名外，用戶也可自定義鏈名。4. 匹配選項(xiàng)匹配選項(xiàng)指定數(shù)據(jù)包與規(guī)則匹配所應(yīng)具有的特征，包括源地址、目的地址、傳輸協(xié)議和端口號(hào)等。主要的匹配選項(xiàng)如表32所示。表32 iptables的主要匹配選項(xiàng)5. 操作選項(xiàng)操作選項(xiàng)用于指定對(duì)匹配過(guò)濾規(guī)則的數(shù)據(jù)包所進(jìn)行的處理。其形式為“j target/jump”，其中“target”是對(duì)包的處理動(dòng)作，“jump”代表一個(gè)用戶自定義的鏈名，用于跳轉(zhuǎn)到該鏈進(jìn)行規(guī)則檢查。對(duì)數(shù)據(jù)常用的處理動(dòng)作如表33所示。表33 iptables的主要目標(biāo)動(dòng)作選項(xiàng) iptables命令的使用1. 對(duì)鏈的操作（1）查看鏈命令用法：iptables L [鏈]命令功能：列出指定表的全部鏈及其規(guī)則例:列出filter表的全部規(guī)則鏈。[root@local ~] iptables L 若要列出nat表的全部規(guī)則鏈，則操作命令為：[root@local ~] iptables t nat L（2）創(chuàng)建新鏈命令用法：iptables N 鏈名命令功能：以指定的名稱(chēng)創(chuàng)建一個(gè)新鏈例:創(chuàng)建一個(gè)名為mychain的新鏈。[root@local ~] iptables N　mychain（3）刪除