iptables是與最新的 2.4.x 版本 Linux 內(nèi)核集成的 IP 信息包過濾系統(tǒng)。如果 Linux 系統(tǒng)連接到因特網(wǎng)或 LAN、服務(wù)器或連接 LAN 和因特網(wǎng)的代理服務(wù)器， 則該系統(tǒng)有利于在 Linux 系統(tǒng)上更好地控制 IP 信息包過濾和防火墻配置。

基本簡(jiǎn)介[ ]

iptables 是與最新的 2.6.x 版本Linux 內(nèi)核集成的 IP 信息包過濾系統(tǒng)。如果 Linux 系統(tǒng)連接到因特網(wǎng)或 LAN、服務(wù)器或連接 LAN 和因特網(wǎng)的代理服務(wù)器， 則該系統(tǒng)有利于在 Linux 系統(tǒng)上更好地控制 IP 信息包過濾和防火墻配置。

netfilter/iptables IP 信息包過濾系統(tǒng)是一種功能強(qiáng)大的工具，可用于添加、編輯和除去規(guī)則，這些規(guī)則是在做信息包過濾決定時(shí)，防火墻所遵循和組成的規(guī)則。這些規(guī)則存儲(chǔ)在專用的信息包過濾表中，而這些表集成在 Linux 內(nèi)核中。在信息包過濾表中，規(guī)則被分組放在我們所謂的鏈（chain）中。

雖然 netfilter/iptables IP 信息包過濾系統(tǒng)被稱為單個(gè)實(shí)體，但它實(shí)際上由兩個(gè)組件netfilter 和 iptables 組成。

netfilter 組件也稱為內(nèi)核空間（kernelspace），是內(nèi)核的一部分，由一些信息包過濾表組成，這些表包含內(nèi)核用來控制信息包過濾處理的規(guī)則集。

iptables 組件是一種工具，也稱為用戶空間（userspace），它使插入、修改和除去信息包過濾表中的規(guī)則變得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本，否則需要下載該工具并安裝使用它。 ==系統(tǒng)優(yōu)點(diǎn)==　 netfilter/iptables 的最大優(yōu)點(diǎn)是它可以配置有狀態(tài)的防火墻，這是 ipfwadm 和 ipchains 等以前的工具都無(wú)法提供的一種重要功能。有狀態(tài)的防火墻能夠指定并記住為發(fā)送或接收信息包所建立的連接的狀態(tài)。防火墻可以從信息包的連接跟蹤狀態(tài)獲得該信息。在決定新的信息包過濾時(shí)，防火墻所使用的這些狀態(tài)信息可以增加其效率和速度。這里有四種有效狀態(tài)，名稱分別為 ESTABLISHED 、 INVALID 、 NEW 和 RELATED 。

狀態(tài) ESTABLISHED 指出該信息包屬于已建立的連接，該連接一直用于發(fā)送和接收信息包并且完全有效。 INVALID 狀態(tài)指出該信息包與任何已知的流或連接都不相關(guān)聯(lián)，它可能包含錯(cuò)誤的數(shù)據(jù)或頭。狀態(tài) NEW 意味著該信息包已經(jīng)或?qū)?dòng)新的連接，或者它與尚未用于發(fā)送和接收信息包的連接相關(guān)聯(lián)。最后， RELATED 表示該信息包正在啟動(dòng)新連接，以及它與已建立的連接相關(guān)聯(lián)。

netfilter/iptables 的另一個(gè)重要優(yōu)點(diǎn)是，它使用戶可以完全控制防火墻配置和信息包過濾。您可以定制自己的規(guī)則來滿足您的特定需求，從而只允許您想要的網(wǎng)絡(luò)流量進(jìn)入系統(tǒng)。

另外，netfilter/iptables 是免費(fèi)的，這對(duì)于那些想要節(jié)省費(fèi)用的人來說十分理想，它可以代替昂貴的防火墻解決方案。

相關(guān)命令[ ]

 用iptables -ADC 來指定鏈的規(guī)則，-A添加 -D刪除 -C 修改 
 iptables - [RI] chain rule num rule-specification[option] 
 用iptables - RI 通過規(guī)則的順序指定 
 iptables -D chain rule num[option] 
 刪除指定規(guī)則 
 iptables -[LFZ] [chain][option] 
 用iptables -LFZ 鏈名 [選項(xiàng)] 
 iptables -[NX] chain 
 用 -NX 指定鏈 
 iptables -P chain target[options] 
 指定鏈的默認(rèn)目標(biāo) 
 iptables -E old-chain-name new-chain-name 
 -E 舊的鏈名 新的鏈名 

操作方法[ ]

啟動(dòng)及關(guān)閉iptables

 設(shè)置iptables開機(jī)啟動(dòng) 
 chkconfig iptables on 
 chkconfig iptables off 
 即時(shí)啟動(dòng)iptables 
 service iptables start 
 即時(shí)關(guān)閉iptables 
 service iptables stop 

ubuntu中啟動(dòng)及關(guān)閉iptables

 在ubuntu中由于不存在 /etc/init.d/iptales文件，所以無(wú)法使用service等命令來啟動(dòng)iptables，需要用modprobe命令。 
 啟動(dòng)iptables 
 modprobe ip_tables 
 關(guān)閉iptables(關(guān)閉命令要比啟動(dòng)復(fù)雜) 
 iptalbes -F 
 iptables -X 
 iptables -Z 
 iptables -P INPUT ACCEPUT 
 iptables -P OUTPUT ACCEPUT 
 iptables -P FORWARD ACCEPUT 
 modprobe -r ip_tables 
 依次執(zhí)行以上命令即可關(guān)閉iptables，否則在執(zhí)行modproble -r ip_tables時(shí)將會(huì)提示 
 FATAL: Module ip_tables is in use.
 用新的鏈名取代舊的鏈名

相關(guān)條目[ ]

• APF
• CSF
• 防火墻
• DDoS

參考來源[ ]

http://baike.baidu.com/view/504557.htm