原文地址：http://www.cnblogs.com/ggjucheng/archive/2012/08/19/2646466.html

iptables簡介

??? netfilter/iptables（簡稱為iptables）組成Linux平臺下的包過濾防火墻，與大多數的Linux軟件一樣，這個包過濾防火墻是免費的，它可以代替昂貴的商業防火墻解決方案，完成封包過濾、封包重定向和網絡地址轉換（NAT）等功能。

iptables基礎

??? 規則（rules）其實就是網絡管理員預定義的條件，規則一般的定義為“如果數據包頭符合這樣的條件，就這樣處理這個數據包”。規則存儲在內核空間的信息包過濾表中，這些規則分別指定了源地址、目的地址、傳輸協議（如TCP、UDP、ICMP）和服務類型（如HTTP、FTP和SMTP）等。當數據包與規則匹配時，iptables就根據規則所定義的方法來處理這些數據包，如放行（accept）、拒絕（reject）和丟棄（drop）等。配置防火墻的主要工作就是添加、修改和刪除這些規則。

iptables和netfilter的關系：

??? 這是第一個要說的地方，Iptables和netfilter的關系是一個很容易讓人搞不清的問題。很多的知道iptables卻不知道netfilter。其實iptables只是Linux防火墻的管理工具而已，位于/sbin/iptables。真正實現防火墻功能的是netfilter，它是Linux內核中實現包過濾的內部結構。

iptables傳輸數據包的過程

① 當一個數據包進入網卡時，它首先進入PREROUTING鏈，內核根據數據包目的IP判斷是否需要轉送出去。?
② 如果數據包就是進入本機的，它就會沿著圖向下移動，到達INPUT鏈。數據包到了INPUT鏈后，任何進程都會收到它。本機上運行的程序可以發送數據包，這些數據包會經過OUTPUT鏈，然后到達POSTROUTING鏈輸出。?
③ 如果數據包是要轉發出去的，且內核允許轉發，數據包就會如圖所示向右移動，經過FORWARD鏈，然后到達POSTROUTING鏈輸出。

iptables的規則表和鏈：

??? 表（tables）提供特定的功能，iptables內置了4個表，即filter表、nat表、mangle表和raw表，分別用于實現包過濾，網絡地址轉換、包重構(修改)和數據跟蹤處理。

???鏈（chains）是數據包傳播的路徑，每一條鏈其實就是眾多規則中的一個檢查清單，每一條鏈中可以有一條或數條規則。當一個數據包到達一個鏈時，iptables就會從鏈中第一條規則開始檢查，看該數據包是否滿足規則所定義的條件。如果滿足，系統就會根據該條規則所定義的方法處理該數據包；否則iptables將繼續檢查下一條規則，如果該數據包不符合鏈中任一條規則，iptables就會根據該鏈預先定義的默認策略來處理數據包。

??? Iptables采用“表”和“鏈”的分層結構。在REHL4中是三張表五個鏈。現在REHL5成了四張表五個鏈了，不過多出來的那個表用的也不太多，所以基本還是和以前一樣。下面羅列一下這四張表和五個鏈。注意一定要明白這些表和鏈的關系及作用。

規則表：

1.filter表——三個鏈：INPUT、FORWARD、OUTPUT
作用：過濾數據包? 內核模塊：iptables_filter.
2.Nat表——三個鏈：PREROUTING、POSTROUTING、OUTPUT
作用：用于網絡地址轉換（IP、端口） 內核模塊：iptable_nat
3.Mangle表——五個鏈：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用：修改數據包的服務類型、TTL、并且可以配置路由實現QOS內核模塊：iptable_mangle(別看這個表這么麻煩，咱們設置策略時幾乎都不會用到它)
4.Raw表——兩個鏈：OUTPUT、PREROUTING
作用：決定數據包是否被狀態跟蹤機制處理? 內核模塊：iptable_raw
(這個是REHL4沒有的，不過不用怕，用的不多)

規則鏈：

1.INPUT——進來的數據包應用此規則鏈中的策略
2.OUTPUT——外出的數據包應用此規則鏈中的策略
3.FORWARD——轉發數據包時應用此規則鏈中的策略
4.PREROUTING——對數據包作路由選擇前應用此鏈中的規則
（記住！所有的數據包進來的時侯都先由這個鏈處理）
5.POSTROUTING——對數據包作路由選擇后應用此鏈中的規則
（所有的數據包出來的時侯都先由這個鏈處理）

規則表之間的優先順序：

Raw——mangle——nat——filter
規則鏈之間的優先順序（分三種情況）：

第一種情況：入站數據流向

??? 從外界到達防火墻的數據包，先被PREROUTING規則鏈處理（是否修改數據包地址等），之后會進行路由選擇（判斷該數據包應該發往何處），如果數據包的目標主機是防火墻本機（比如說Internet用戶訪問防火墻主機中的web服務器的數據包），那么內核將其傳給INPUT鏈進行處理（決定是否允許通過等），通過以后再交給系統上層的應用程序（比如Apache服務器）進行響應。

第二沖情況：轉發數據流向

??? 來自外界的數據包到達防火墻后，首先被PREROUTING規則鏈處理，之后會進行路由選擇，如果數據包的目標地址是其它外部地址（比如局域網用戶通過網關訪問QQ站點的數據包），則內核將其傳遞給FORWARD鏈進行處理（是否轉發或攔截），然后再交給POSTROUTING規則鏈（是否修改數據包的地址等）進行處理。

第三種情況：出站數據流向
???? 防火墻本機向外部地址發送的數據包（比如在防火墻主機中測試公網DNS服務器時），首先被OUTPUT規則鏈處理，之后進行路由選擇，然后傳遞給POSTROUTING規則鏈（是否修改數據包的地址等）進行處理。

管理和設置iptables規則

文章參考

　　http://netfilter.org/ iptables官方網站
　　http://www.linux.gov.cn/netweb/iptables.htm iptables配置手冊
　　http://man.chinaunix.net/
　　http://man.chinaunix.net/network/iptables-tutorial-cn-1.1.19.html iptables配置手冊
　　http://blog.csdn.net/thmono/archive/2010/04/08/5462043.aspx
　　http://netsecurity.51cto.com/art/200512/14457.htm
　　http://blog.sina.com.cn/s/blog_40ba724c0100jz12.html
　　http://qiliuping.blog.163.com/blog/static/1023829320105245337799/

轉載于:https://www.cnblogs.com/AloneSword/p/5079635.html

總結

以上是生活随笔為你收集整理的linux平台下防火墙iptables原理(转)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。