LINUX防火墙iptables入门IPTABLES的优点：（1）有状态的防火墙（2）完全的规则控制（3）免费IPTABLES的缺点：（1）配置复杂（2）维护难（大型的配置环境不建议使用，一般只用在简单的环境）IPTABLES的功能：（1）数据包的过滤（2）数据转发（3）限速（4）防攻击IPTABLES的四表五链：（1）filer：实现包过滤（2）nat：实现地址转换（3）mangle：重构修改（4）raw：数据跟踪处理规则表之间的优先级：raw---managle---nat---filer先后处理的顺序（1）PREROUTING（2）POSTOUTING（3）INPUT（4）OUTPUT（5）FORWARD当一个数据包进入iptables时首先进入PREROUTING链，包含此链的表有nat、managle、raw，然后判断目的地是哪里如果是本地进入INPUT链，包含此链的有filter、managle，之后进入OUTPUT链包含此链的有filter、nat、managle、raw最后进入POSTOUTING包含此链的有nat、raw、managle。直接进入转发FORWARD链包含此链的有filter、managle最后进入POSTOUTING。State连接状态：ESTABLISHED:只要数据包能够成功通过防火墙，那么之后的所有数据包状态都会是ESTABLSHED.NEW:每条连接的第一条数据包。RELATED:被动产生的数据包，访问外部服务器后返回的数据响应包为RELATED.INVALID:状态不明的数据包，一般视为恶意的数据包并应该被丢弃。IPTABLES的配置与命令:1、iptables的规则文件[root@wudilinuxsysconfig]#cat/etc/sysconfig/iptables#Generatedbyiptables-savev1.3.5onTueMay318:59:012016*filter:INPUTDROP[69:4906]#默认规则drop端口为69到4906的包:FORWARDACCEPT[0:0]#默认规则端口不做限制:OUTPUTACCEPT[1298:137580]#默认规则accept的端口为1298到137580-AINPUT-ilo-jACCEPT-AINPUT-ieth0-ptcp-mtcp--sport1024:65534--dport22-jACCEPT-AINPUT-ieth0-ptcp-mtcp--sport1024:65534--dport80-jACCEPTCOMMIT#CompletedonTueMay318:59:0120162、iptables的配置文件[root@wudilinuxsysconfig]#cat/etc/sysconfig/iptables-config#Loadadditionaliptablesmodules(nathelpers)#Default:-none-#Spaceseparatedlistofnathelpers(e.g.'ip_nat_ftpip_nat_irc'),which#areloadedafterthefirewallrulesareapplied.Optionsforthehelpersare#storedin/etc/modprobe.conf.IPTABLES_MODULES="ip_conntrack_netbios_ns"#Unloadmodulesonrestartandstop#Value:yes|no,default:yes#Thisoptionhastobe'yes'togettoasanestateforafirewall#restartorstop.Onlysetto'no'ifthereareproblemsunloadingnetfilter#modules.IPTABLES_MODULES_UNLOAD="yes"#Savecurrentfirewallrulesonstop.#Value:yes|no,default:no#Savesallfirewallrulesto/etc/sysconfig/iptablesiffirewallgetsstopped#(e.g.onsystemshutdown).IPTABLES_SAVE_ON_STOP="no"#Savecurrentfirewallrulesonrestart.#Value:yes|no,default:no#Savesallfirewallrulesto/etc/sysconfig/iptablesiffirewallgets#restarted.IPTABLES_SAVE_ON_RESTART="no"#Sav