Iptables 命令详解 netfilter/iptables 系统的优点 netfilter/iptables 的最大优点是它可以配置有状态的防火墙,这是 ipfwadm 和 ipchains 等以前的工具都无法提供的一种重要功能。有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时,防火墙所使用的这些状 态 信 息 可 以 增 加 其 效 率 和 速 度 。 这 里 有 四 种 有 效 状 态 , 名 称 分 别 为 ESTABLISHED、 INVALID、NEW 和 RELATED。 状态 ESTABLISHED 指出该信息包属于已建立的连接,该连接一直用于发送和接收信息包并且完全有效。INVALID 状态指出该信息包与任何已知的流或连接都不相关联,它可能包含错误的数据或头。状态 NEW 意味着该信息包已经或将启动新的连接,或者它与尚未用于发送和接收信息包的连接相关联。最后,RELATED 表示该信息包正在启动新连接,以及它与已建立的连接相关联。 建立规则和链 在内核看来,规则就是决定如何处理一个包的语句。如果一个包符合所有的条件(就是符合matche 语句) ,我们就运行target 或 jump 指令。书写规则的语法格式是: iptables [-t table] command [match] [target/jump] 对于这个句法没什么可说的,但注意target 指令必须在最后。 [-t table] 选项允许使用标准表之外的任何表。表是包含仅处理特定类型信息包的规则和链的信息包过滤表。有三种可用的表选项:filter、 nat 和 mangle。该选项不是必需的,如果未指定,则 filter 用作缺省表。 一般情况下没有必要指定使用的表,因为iptables 默认使用filter 表来执行所有的命令。 Command 尽管命令总是放在开头,或者是直接放在表名后面,我们也要考虑考虑到底放在哪儿易读。command告诉程序该做什么,比如:插入一个规则,还是在链的末尾增加一个规则,还是删除一个规则。 Match 细致地描述了包的某个特点,以使这个包区别于其它所有的包。在这里,我们可以指定包的来源IP 地址,网络接口,端口,协议类型,或者其他什么。 [target/jump] 数据包的目标所在。若数据包符合所有的match,内核就用target 来处理它,或者说把包发往 target。比如,我们可以让内核把包发送到当前表中的其他链(可能是我们自己建立的),或者只是丢弃这个包而没有什么处理,或者向发送者返回某个特殊的应答。 表 (table) Table...
