第9章节 iptables.ppt

第9章 iptables 9．1 Linux 防火墙概述 iptables 是一款Linux系统下著名的防火墙软件。 已经成为Linux系统中防火墙软件的事实标准。 9．1．1 Linux 防火墙的架构 严格地说iptables只能算是防火墙与用户之间的接口，真正的起到防火墙作用的是在Linux内核中运行的netfilter。 netfilter运行在内核态，而iptables运行在用户态。 9．1．2 netfilter/iptables的功能 netfilter/iptables实现的功能总体上划分为以下3类： 1）数据包过滤防火墙 2）网络地址转换NAT 3）数据包拆分 iptables共有3张表，分别是： filter（过滤）表， nat（网络地址转换）表， mangle（拆分）表， 这3张表正好对应实现iptables的3类功能。 表链规则 在iptables的概念中，“表”是最大的容器 ； 在表中可以定义多条“链”； 每条链中又可以定义多条“规则”。 基于状态的防火墙 netfilter/iptables功能的一大特色是：可以根据连接状态来实施规则，因此，又称其为基于状态的防火墙。 可以跟踪的连接状态只有4种，分别是： （1）NEW 一般情况下，NEW状态表示这是一个新发起连接的数据包（如用于建立TCP连接的SY