Linux系统之防火墙iptables的基础设置

iptables是针对Linux防火墙 netfilter的管理配置工具。
在进行iptables防火墙设置前，必须打开系统内核的IP转发功能，使系统成为路由器。在Red Hat中有以下两种方法实现：
1.修改内核变量ip_forward
#echo "1" >
/proc/sys/net/ipv4/ip_froward
2.修改脚本/etc/sysconfig/network
将FROWARD_IPV4=false 改为 FROWARD_IPV4=true
一、数据包流经netfilter防火墙的路径
1.流入本机数据包的路径：
所属表 mangle nat mangle nat filter网络数据包 à PREROUTING à PREROUTING à 路由选择 à INPUT à INPUT à INPUT à 本地处理进程
2.流出本机数据包的路径：
所属表 mangle filter mangle nat本地处理进程 à OUTPUT à OUTPUT à 路由选择 à POSTROUTING à POSTROUTING à 外部网络
3.流经本机转发的数据包的路径：
所属表 mangle nat mangle filter mangle natA端网络 à PREROUTING à PREROUTING à 路由选择 à FORWARD à FORWARD à POSTROUTING à POSTROUTING à B端网络



注：①.路径上某表链规则匹配数据包并进行ACCEPT、DROP、REJECT操作时，ACCEPT使数据包直接到达目的地，DROP和REJECT则当场丢弃数据包，该数据包不会在后续路径上再出现，故会影响其它表的操作。
②.PREROUTING和POSTROUTING链只对请求连接的包进行操作，对属于该连接的后续包，不予比对规则，只按已确定的规则自动进行操作，因此建议不要在此链上作过滤操作，否则将漏掉对后续包的过滤。



二、iptables指令的基本格式：
<strong>