Linux iptables 防火墙包过滤与端口转发

iptables 是与 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器， 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。

通俗来说，iptables是一个工具软件，可以控制到达当前linux系统的网络包，不限于删除网络包，修改网络包。而计算机网络之间的互通都是一个个的网络包，可以看出iptables的厉害之处，可以控制自己与其它计算机的通信。

概念

iptables主要通过存储在linux内核中的一个个表来控制IP包的。可以想象成excel表格。你可以自定义所需的iptables表。不过已经内置了三张表。

这是默认的表，包含了内建的链INPUT（处理进入的包),FORWORD(处理通过的包)和OUTPUT(处理本地生成的包）

这个表被查询时表示遇到了产生新的连接的包,由三个内建的链构成：PREROUTING (修改到来的包)、OUTPUT（修改路由之前本地的包）、POSTROUTING（修改准备出去的包）。

这个表用来对指定的包进行修改。它有两个内建规则：PREROUTING（修改路由之前进入的包）和OUTPUT（修改路由之前本地的包）。

根据颜色区分不同的iptables表

基本用法

案例

查看某个表中的iptables规则，默认的是filter表

iptables -t [table] -L

查看iptables表中的规则

将所有请求192.168.8.250:80的请求，转发到192.168.8.251上

删除nat表中PREROUTING链的第一条规则

内容过滤

保存iptables与恢复规则

删除所有的规则

阻塞某个IP地址

最后

明白了iptables的表与链的规则，用法方面就简单很多，功能远比这强大，以上供参考