Iptables是linux自动化运维工作中常见的系统安全必要的工作。了解和熟悉iptables的工作原理，有助于写防火墙脚本，以下就来说说iptables的运用原理。

Linux系统的防火墙功能是由内核实现的

2.0 版内核中，包过滤机制是ipfw，管理工具是ipfwadm

2.2 版内核中，包过滤机制是ipchain，管理工具是ipchains

2.4 版及以后的内核中，包过滤机制是netfilter，管理工具是iptables

iptables

位于/sbin/iptables，是用来管理防火墙的命令工具

为防火墙体系提供过滤规则/策略，决定如何过滤或处理到达防火墙主机的数据包

称为Linux防火墙的用户态

netfilter

位于Linux内核中的包过滤防火墙功能体系

称为Linux防火墙的内核态

规则表

具有某一类相似用途的防火墙规则，按照不同处理时机区分到不同的规则链以后，被归置到不同的表中

规则表是规则链的集合

默认的4个规则表

raw表：确定是否对该数据包进行状态跟踪

mangle表：为数据包设置标记

nat表：修改数据包中的源、目标IP地址或端口

filter表：确定是否放行该数据包（过滤）

规则链

规则的作用在于对数据包进行过滤或处理，根据处理时机的不同，各种规则被组织在不同的链中

规则链是防火墙规则/策略的集合

默认的5种规则链

INPUT：处理入站数据包

OUTPUT：处理出站数据包

FORWARD：处理转发数据包

POSTROUTING链：在进行路由选择后处理数据包

PREROUTING链：在进行路由选择前处理数据包come

规则表间的优先顺序

依次为：raw mangle nat filter

规则链间的匹配顺序

入站数据：PREROUTING INPUT

出站数据：OUTPUT POSTROUTING

转发数据：PREROUTING FORWARD POSTROUTING

规则链内的匹配顺序

按顺序依次进行检查，找到相匹配的规则即停止（LOG策略除外）

若找不到相匹配的规则，则按该链的默认策略处理

数据包过滤匹配流程

iptables命令的语法格式

iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转]

几个注意事项

不指定表名时，默认表示filter表

不指定链名时，默认表示该表内所有链

除非设置规则链的缺省策略，否则需要指定匹配条件

管理选项

INVAID 非法连接