一.基本架構(gòu)

    在Linux的內(nèi)核中使用netfilter架構(gòu)實現(xiàn)防火墻功能，iptables只不過是Linux為netfilter提供的管理工具，用于實現(xiàn)對Linux內(nèi)核中網(wǎng)絡(luò)防火墻的管控。

    iptables服務(wù)啟動腳本：/etc/rc.d/init.d/iptables

    iptables的配置文件：/etc/sysconfig/iptables-config

    iptables的策略配置文件：/etc/sysconfig/iptables

    iptables服務(wù)的啟動關(guān)閉：service iptables start/stop

二.iptables缺省的五條規(guī)則鏈：

三.iptables缺省的3個規(guī)則表：

   filter:用于設(shè)置包過濾                   input forward output   三個規(guī)則鏈

   nat:用于設(shè)置地址轉(zhuǎn)換                    prerouting output postrouting  三個規(guī)則鏈

   mangle:用于設(shè)置網(wǎng)絡(luò)流量整形等應(yīng)用       mark 打標記
                                                                     ttl  生存時間
                                                                     tos  流量帶寬限制

四.iptables的基本命令

   iptables  -t tables  -L   INPUT   -s source_ip  -p tcp|udp|icmp  –dport -j ACCEPT|DROP|REJECT
   iptables     filter   -A   OUTPUT
   iptables     nat      -I   FORWARD
   iptables     mangle   -D   PREROUTING
   iptables             -P   POSTROUTING
   iptables             -F
   iptables             -R
   

   應(yīng)用實例：
   iptables -P drop -t filter                          /設(shè)置規(guī)則表默認策略
   iptables -F                                         /清楚規(guī)則鏈上的策略，但不能清除規(guī)則表默認策
   iptables -nL                                        /快速查看配置策略
   iptables -nvL                                        /快速查看配置策略v，其中包括細節(jié)，比如包攔截數(shù)量和字節(jié)數(shù)等。
   iptables -nL -t nat                                 /查看nat表策略
   iptables -A INPUT -s 10.0.0.85 -p tcp -dport 25 -j ACCEPT    /有-p必有端口-dport
   iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -p tcp –dport 80 -j SNAT –to 192.168.1.1:80
   iptables -t nat -A POSTROUTING -s 10.0.0.0/24 MASQUERADE
   service iptables save                                /儲存策略
   chkconfig iptables on                                /默認開機啟動
   watch iptables -nL 1                                 /實時查看iptables的狀態(tài)，每隔1s看一次