iptables入门经典整理版.docx

9.1.2 iptables防火墙内核模块netfilter框架为内核模块参与IP层数据包处理提供了很大的方便，内核的防火墙模块正是通过把自己的函数注册到netfilter的钩子函数这种方式介入了对数据包的处理。这些函数的功能非常强大，按照功能来分的话主要有4种，包括连接跟踪、数据包过滤、网络地址转换（NAT）和对数据包进行修改。其中，NAT还分为SNAT和DNAT，分别表示源网络地址转换和目的网络地址转换，内核防火墙模块函数的具体分布情况如图9-3所示。由图9-3可以看出，防火墙模块在netfilter的LOCAL_IN、FORWARD和LOCAL_OUT 3个位置分别注册了数据包过滤函数，数据包经过这些位置时，防火墙模块要对数据包进行过滤。这三个位置也称为三条链，名称分别为INPUT、FORWARD和OUTPUT，它们共同组成了一张过滤表，每条链可以包含各种规则，每一条规则都包含0个或多个匹配以及一个动作。当数据包满足所有的匹配时，则过滤函数将执行设定的动作，以便对数据包进行过滤的。（点击查看大图）图9-3 iptables防火墙内核模块结构框架图注意：这些规则的次序是很重要的，过滤函数对数据包执行了某一规则动作后，对数据包的处理即告结束，即使这个数据包还满足后面其他规则的所有匹配，也不会执行那些规则所设定的动作。从图9-3中可以看出，除了过滤表以外，在PRE_ROUTING、LOCAL_OUT和POST_ ROUTING 3个位置各有一条有关NAT的链，名称分别为PREROUTING、OUTPUT和POSTROUTING，它们组成了NAT表。NAT链里面也可以包含各种规则，它指出了如何对数据包的地址进行转换。此外，5个钩子函数位置的mangle链还组成了一张mangle表，这个表的主要功能是根据规则修改数据包的一些标志位，例如TTL、TOS等，也可以在内核空间为数据包设置一些标志。防火墙内的其他规则或程序（如tc等）可以利用这种标志对数据包进行过滤或高级路由。以上介绍的是iptables防火墙的内部结构，Linux系统还提供了iptables防火墙的用户接口，它可以在上述各张表所包含的链中添加规则，或者修改、删除规则，从而可以根据需要构建自己的防火墙。具体来说，用户是通过输入iptables命令来实现上述功能的。9.1.3 iptables命令格式（1）在RHEL 5中，iptables命令由iptables-1.3.5-1.2.1软件包提供，默认时，系统已经安装了该软件包，因此，用户可以直接输入iptables命令对防火墙中的规则进行管理。iptables命令相当复杂，具体格式如下所示。iptables [-t 表名] 命令 [链名] [规则号] [规则] [-j 目标] -t选项用于指定所使用的表，iptables防火墙默认有filter、nat和mangle 3张表，也可以是用户自定义的表。表中包含了分布在各个位置的链，iptables命令所管理的规则就是存在于各种链中的。该选项不是必需的，如果未指定一个具体的表，则默认使用的是filter表。命令选项是必须要有的，它告诉iptables要做什么事情，是添加规则、修改规则还是删除规则。有些命令选项后面要指定具体的链名称，而有些可以省略，此时，是对所有的链进行操作。还有一些命令要指定规则号。具体的命令选项名称及其与后续选项的搭配形式如下所示。示例1：-A 链名规则功能：在指定链的末尾添加一条或多条规则。示例2：-D 链名规则-D 链名规则号功能：从指定的链中删除一条或多条规则。可以按照规则的序号进行删除，也可以删除满足匹配条件的规则。示例3：-R 链名规则号规则功能：在指定的链中用新的规则置换掉某一规则号的旧规则。示例4：-I 链名 [规则号] 规则功能：在给出的规则序号前插入一条或多条规则，如果没有指定规则号，则默认是1。示例5：-L [链名] 功能：列出指定链中的所有规则，如果没有指定链，则所有链中的规则都将被列出。示例6：-F [链名] 功能：删除指定链中的所有规则，如果没有指定链，则所有链中的规则都将被删除。示例7：-N 链名功能：建立一个新的用户自定义链。示例8：-X [链名] 功能：删除指定的用户自定义链，这个链必须没有被引用，而且里面也不包含任何规则。如果没有给出链名，这条命令将试着删除每个非内建的链。示例9：-P 链名目标功能：为指定的链设置规则的默认目标，当一个数据包与所有的规则都不匹配时，将采用这个默认的目标动作。示例10：-E 旧链名新链名9.1.3 iptables命令格式（2）功能：重新命名链名，对链的功能没有影响。以上是有关iptables命令格式中有关命令选项部分的解释。iptables命令格式中的规则部分由