編輯“Iptables”

'''iptables'''是與最新的 2.4.x 版本 [[Linux]] 內核集成的 [[IP]] 信息包過濾系統(tǒng)。如果 Linux 系統(tǒng)連接到因特網或 LAN、服務器或連接 LAN 和因特網的代理[[服務器]]， 則該系統(tǒng)有利于在 Linux 系統(tǒng)上更好地控制 IP 信息包過濾和[[防火墻]]配置。
==基本簡介==
iptables 是與最新的 2.6.x 版本Linux 內核集成的 IP 信息包過濾系統(tǒng)。如果 Linux 系統(tǒng)連接到[[因特網]]或 [[LAN]]、服務器或連接 LAN 和因特網的代理服務器， 則該系統(tǒng)有利于在 Linux 系統(tǒng)上更好地控制 IP 信息包過濾和防火墻配置。

netfilter/iptables IP 信息包過濾系統(tǒng)是一種功能強大的工具，可用于添加、編輯和除去規(guī)則，這些規(guī)則是在做信息包過濾決定時，防火墻所遵循和組成的規(guī)則。這些規(guī)則存儲在專用的信息包過濾表中，而這些表集成在 Linux 內核中。在信息包過濾表中，規(guī)則被分組放在我們所謂的鏈（chain）中。 

雖然 netfilter/iptables IP 信息包過濾系統(tǒng)被稱為單個實體，但它實際上由兩個組件netfilter 和 iptables 組成。 

[[netfilter]] 組件也稱為內核空間（kernelspace），是內核的一部分，由一些信息包過濾表組成，這些表包含內核用來控制信息包過濾處理的規(guī)則集。 

iptables 組件是一種工具，也稱為用戶空間（userspace），它使插入、修改和除去信息包過濾表中的規(guī)則變得容易。除非您正在使用 [[Red Hat]] Linux 7.1 或更高版本，否則需要下載該工具并安裝使用它。
==系統(tǒng)優(yōu)點==　
netfilter/iptables 的最大優(yōu)點是它可以配置有狀態(tài)的防火墻，這是 ipfwadm 和 ipchains 等以前的工具都無法提供的一種重要功能。有狀態(tài)的防火墻能夠指定并記住為發(fā)送或接收信息包所建立的連接的狀態(tài)。防火墻可以從信息包的連接跟蹤狀態(tài)獲得該信息。在決定新的信息包過濾時，防火墻所使用的這些狀態(tài)信息可以增加其效率和速度。這里有四種有效狀態(tài)，名稱分別為 ESTABLISHED 、 INVALID 、 NEW 和 RELATED 。 

狀態(tài) ESTABLISHED 指出該信息包屬于已建立的連接，該連接一直用于發(fā)送和接收信息包并且完全有效。 INVALID 狀態(tài)指出該信息包與任何已知的流或連接都不相關聯，它可能包含錯誤的數據或頭。狀態(tài) NEW 意味著該信息包已經或將啟動新的連接，或者它與尚未用于發(fā)送和接收信息包的連接相關聯。最后， RELATED 表示該信息包正在啟動新連接，以及它與已建立的連接相關聯。 

netfilter/iptables 的另一個重要優(yōu)點是，它使用戶可以完全控制防火墻配置和信息包過濾。您可以定制自己的規(guī)則來滿足您的特定需求，從而只允許您想要的網絡流量進入系統(tǒng)。 

另外，netfilter/iptables 是免費的，這對于那些想要節(jié)省費用的人來說十分理想，它可以代替昂貴的防火墻解決方案。
==相關命令==
  用iptables -ADC 來指定鏈的規(guī)則，-A添加 -D刪除 -C 修改 
  iptables - [RI] chain rule num rule-specification[option] 
  用iptables - RI 通過規(guī)則的順序指定 
  iptables -D chain rule num[option] 
  刪除指定規(guī)則 
  iptables -[LFZ] [chain][option] 
  用iptables -LFZ 鏈名 [選項] 
  iptables -[NX] chain 
  用 -NX 指定鏈 
  iptables -P chain target[options] 
  指定鏈的默認目標 
  iptables -E old-chain-name new-chain-name 
  -E 舊的鏈名 新的鏈名 
==操作方法==
'''啟動及關閉iptables''' 
  設置iptables開機啟動 
  chkconfig iptables on 
  chkconfig iptables off 
  即時啟動iptables 
  service iptables start 
  即時關閉iptables 
  service iptables stop 
'''ubuntu中啟動及關閉iptables''' 
  在ubuntu中由于不存在 /etc/init.d/iptales文件，所以無法使用service等命令來啟動iptables，需要用modprobe命令。 
  啟動iptables 
  modprobe ip_tables 
  關閉iptables(關閉命令要比啟動復雜) 
  iptalbes -F 
  iptables -X 
  iptables -Z 
  iptables -P INPUT ACCEPUT 
  iptables -P OUTPUT ACCEPUT 
  iptables -P FORWARD ACCEPUT 
  modprobe -r ip_tables 
  依次執(zhí)行以上命令即可關閉iptables，否則在執(zhí)行modproble -r ip_tables時將會提示 
  FATAL: Module ip_tables is in use.
  用新的鏈名取代舊的鏈名
==相關條目==
*[[APF]] 
*[[CSF]] 
*[[防火墻]] 
*[[DDoS]]

==參考來源==
http://baike.baidu.com/view/504557.htm

[[category:防火墻]]