什么是iptables?我们首先应该知道它是Linux平台最著名的防火墙工具,系统自带的,从什么版本的内核开始自带的呢,好像是2.4以后。它的全称应该是netfilter/iptables,从这个名称上看,它其实是两个软件。netfilter是运行在内核之中的,对数据包进行分析处理;iptables是提供用户的一个配置管理工具,它可以设置一些表、表中有一些链条、链条上面有一些规则。通过iptables建立的一整个的规则体系,netfilter来对数据包进行分析处理。
netfilter/iptables 的最大优点是它可以配置有状态的防火墙,这是 ipfwadm 和 ipchains 等以前的工具都无法提供的一种重要功能。什么叫有状态的防火墙,它很牛B吗?当然的!举个简单的例子,我不想让其它主机连接本机的任何端口,但又希望,当我主动去连接别人的时候,别人回过来的包我可以收到。这看似很合理的一个想法,在无状态的防火墙中是根本不可能实现的。别人对我发起一个连接是一个NEW状态,我可以禁止它。我对别人发起一个连接后,状态就变成ESTABLISHED了,我可以允许它。
iptables除了做包过滤的防火墙外,做nat也一把好手。因为它有一个专门做nat的表。
说说怎么启动及关闭iptables吧,其实iptables是一个服务,完全按照服务的方式去操作它就可以了。所以设置iptables开机启动的命令:chkconfig iptables on,开机不启动则为chkconfig iptables off。想马上启动iptables,命令:service iptables start,马上关闭的命令:service iptables stop。
另外说说ubuntu中启动及关闭iptables,ubuntu,唉,怎么就这么烦呢?
在ubuntu中由于不存在 /etc/init.d/iptales文件,所以无法使用service等命令来启动iptables,需要用modprobe命令。启动iptables的命令:modprobe ip_tables;而关闭iptables(关闭命令要比启动复杂)
iptables -F
iptables -X
iptables -Z
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
modprobe -r ip_tables
依次执行以上命令即可关闭iptables,否则在执行modproble -r ip_tables时将会提示:FATAL: Module ip_tables is in use.
关于iptables就简单介绍到这里,后面有时间介绍一下iptables的具体配置。