Li
ux的内置firewall机制，是通过ker
el中的
etfilter模块实现的www
etfilterort。Li
uxker
el使用
etfilter对进出的数据包进行过滤，
etfilter由三个规则表组成，每个表又有许多内建的链组成。通过使用iptables命令可以对这些表链进行操作，如添加、删除和列出规则等。规则表filter
atma
gle一、Netfilter规则表filter用于路由网络数据包。是默认的，也就是说如果没有指定t参数，当创建一条新规则时，它会默认存放到该表内。INPUT网络数据包流向服务器OUTPUT网络数据包从服务器流出FORWARD网络数据包经服务器路由
at用于NAT表NATNetAddressTra
slatio
是一种IP地址转换方法。PREROUTING网络数据包到达服务器时可以被修改OUTPUT网络数据包由服务器流出POSTROUTING网络数据包在即将从服务器发出时可以被修改ma
gle用于修改网络数据包的表，如TOSTypeOfServiceTTLTimeToLive等INPUT网络数据包流向服务器OUTPUT网络数据包流出服务器FORWARD网络数据包经由服务器转发PREROUTING网络数据包到达服务器时可以被修改POSTROUTING网络数据包在即将从服务器发出时可以被修改1配置Iptables配置当数据包进入服务器时，Li
uxKer
el会查找对应的链，直到找到一条规则与数据包匹配。如果该规则的target是ACCEPT，就会跳过剩下的规则，数据包会被继续发送。如果该规则的target是DROP，该数据包会被拦截掉，ker
el不会再参考其他规则。Note：如果从始至终都没有一条规则与数据包匹配，而且表末尾又没有dropall的规则，那末该数据包会被accept。Cisco则相反，在表末尾会因含de
yall的规则。
f1Iptables的命令选项iptablesttablescomma
doptio
parametertarget
A在链尾添加一条规则C将规则添加到用户定义链之前对其进行检查D从链中删除一条规则E重命名用户定义的链，不改变链本身F清空链，删除链上的所有规则I在链中插入一条规则L列出某个链上的规则，如iptablesLINPUT列出INPUT链的规则N创建一个新链P定义某个链的默认策略R替换链上的某条规则X删除某个用户相关的链Z将所有表的所有链的字节和数据包计数器清零2Iptables的命令参数pprotocol
f应用于数据包的协议类型，可以是TCPUDPICMP或ALL。！也可使用。当使用ptcp时，还可使用其他可以选项，以便允许进一步定义规则。选项包括：sport允许指定匹配数据包源端口port1port表示port1和port2之间的所有端口dport目的端口，和sport雷同。当使用pudp时，也有特殊的选项供使包括：sportdport与ptcp相同，只不过用以用于UDP包。使用pir