iptables

一、iptables是什么

• iptables 不是防火墙，是防火墙用户代理

• 用于把用户的安全设置添加到安全框架中

• 安全框架是防火墙，名称是netfilter

• netfilter 位于内核空间中，是Linux操作系统核心层内部的一个数据包处理模块

• iptables 是位于在用户空间对内核空间的netfilter进行操作的命令工具

二、iptables功能

• 数据包过滤，即防火墙

• 数据包重定向，即转发

• 网络地址转换，即NAT

三、安装 iptables services

安装服务

# yum install iptables-services

四、基础操作

基础规则，匹配顺序从上到下

-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable

ftp 规则

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20:21 -j ACCEPT
## nf_conntrack_ftp：针对端口连接时，将连接状态识别成RELATED
# modprobe nf_conntrack_ftp
或者
# vim /etc/sysconfig/iptables-config
IPTABLES_MODULES="nf_conntrack_ftp"