waterhorse 2011-07-22
iptables防火墙由Netfilter项目开发(http://www.netfilter.org),自2001年1月Linux 2.4内核发布以来,它就成为Linux的一部分。
多年来,iptables已发展成为一个功能强大的防火墙,它已具备通常只会在专有的商业防火墙中才能发现的大多数功能。例如,iptables提供了全面的协议状态跟踪、数据包的应用层检查、速率限制和一个功能强大的机制以指定过滤策略。所有主流的linux发行版都包含了iptables,而且许多发行版在系统安装过程中就提示用户部署iptables策略。
正因为iptables的功能过于强大,所以常常导致一些刚接触iptables的人在配置时出现错误。iptables的规则配置文件为/etc/sysconfig/iptables,如果你已非常了解iptables,那么可以直接在此文件中修改配置规则。对iptables不是很了解的话,可以按下面的步骤设置,这用出错的机会更小些。
以CentOS5.5为例:
1、增加规则指令
#iptables-IINPUT-ptcp--dport80-jACCEPT
#iptables-IINPUT-pudp-s192.168.1.200--dport161-jACCEPT
2、保存新增指令
#/etc/rc.d/init.d/iptablessave
3、使新增指令生效
#/etc/init.d/iptablesrestart
或者
#serviceiptablesrestart
4、查看iptables状态
#/etc/init.d/iptablesstatus
5、关闭iptables
#/etc/init.d/iptablesstop
或者
#serviceiptablesstop
如果要永久的停用iptables,需要在启动服务中停止该服务。
#ntsysv中将iptables及ip6tables前的*号去掉
或者
#chkconfigiptablesoff
下面是我虚拟机中iptables的状态:# /etc/init.d/iptables status
Table: filter Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT udp -- 192.168.1.200 0.0.0.0/0 udp dpt:161 2 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) num target prot opt source destination Chain RH-Firewall-1-INPUT (2 references) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255 3 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0 5 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353 6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631 7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631 8 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 9 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 10 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited