使用IPTABLES搭建软件防火墙

使用IPTABLES搭建软件防火墙

IPTABLES是Centos系列系统自带的一款软件防火墙，其性质与硬件防火墙一样，但是很省钱。

iptables主要用到的有两个表filter表和nat表，也就是过滤表和转换表，filter主要功能是包过滤，而nat表主要功能是源地址和目的地址的转发。

filter是过滤表，nat是转发表。

filter表下有三个链，分别是INPUT、OUTPUT和FORWARD，这三个链前两个INPUT和OUTPUT过滤速墨的是通过本机的数据包，FORWARD链过滤的是穿过本机的数据包。

INPUT 进入的数据包 OUTPUT 发出的数据包 FORWARD 穿过的数据包

nat表下也有三个链，涛篇分别是PREROUTING、POSTROUTING和OUTPUT，这三个链前两个PREROUTING和POSTROUTING主要功能是地址转换。

PREROUTING是目的地址转换 POSTROUTING是源地址转换 OUTPUT是发出的数据包

操作命令有以下常用的几种

-A 添加一条规则 -I 插入一条规则 -D 删除一条规则 -R 替换一条规则 -L 查看所有规则 -F 清空所有规则 -Z 清空包计数器 -P 设置默认规则

规则是比较复杂的，规则包括

-i 入口网卡 -o 出口网卡 -s 源地址，也可以是一个网段 -d 目的地址 -p 协议，tcp、udp、icmp等 --sport 源端口 --dport 目的端口

动作很简单，无非就是DROP（丢弃）或者ACCEPT（通过）亦或者REJECT（丢弃但回复）和LOG，或者是DNAT（目的获铲裹地址转换）、SNAT（源地址转换）。

DROP丢弃 ACCEPT 通过 REJECT 丢弃并回复删除一条规则 LOG LOG SNAT 目的地址转换 DNAT 源地址转换