紅旗Linux上的iptables使用簡介

　　Iptables 使用簡介

　　
　　Iptables是一種功能強大的基於包過濾的網路工具，本文簡單介紹了iptables的使用方法，以及如何利用它來構建一個網路防火牆。

　　Iptables由兩個子系統組成，即核心模組和使用者介面應用程式，它可以被編譯進系統核心，也可以編譯成可裝卸的核心模組，之後還可以選擇安裝一些能夠完成一定功能的組件，這些組件實現了IP地址偽裝，連接埠映射，包過濾等等一系列功能。

　　
　　安裝iptables

　　iptables很多組件的配置、編譯是與核心的配置、編譯相關聯的，一些Linux發行版已經預先安裝好了iptables，如RedHat，RedFlag等。但是您還是有可能需要自己安裝。

　　首先您需要2.4.X以上版本的核心，可以從http://Kernel.org下載。

　　您還需要iptables的使用者空間程式，它可以從Netfilter首頁下載。

　　當您做好準備工作後就開始編譯核心，在Networking Options下找到　　Network packet filtering子項，選擇Network packet filtering replaces ipchains並進行配置。

　　使用新核心引導後編譯iptables的使用者空間程式，安裝程式會將可執行檔拷貝到/usr/local/sbin目錄。

　　如果一切都很順利，我們就已經在核心中成功地安裝了對iptables和Netfilter的支援了。

　　使用者可以通過service iptables start啟動服務。

　　
　　表和鏈

　　這裡我們討論一下資料包在iptables的各個鏈和表之間是怎麼傳遞的。

　　舉例來說，一個從外部主機發往原生資料包需要經過以下的途徑才能被應用程式接收：

　　1．　資料包從網路傳入，並由網卡接收

　　2．　隨後轉入mangle表的PREROUTING鏈。

　　3．　再轉入nat表的PRETOUTING鏈，這個鏈主要用來做DNAT，即目的地址轉寄。