红旗Linux上的iptables使用简介

4．　路由判断。

5．　因为数据包是传入本机的，因此转入mangle表的INPUT链。

6．　转入filter表的INPUT链。

7．　最终到达接收数据包的应用程序。

编写Iptables规则脚本

上一节中我们了解了Linux网络数据包在iptables数据链中的流向，这一节将要简单的介绍一下如何编写iptables规则。所谓规则，就是指在一条链上，对不同的连接和数据包进行阻塞或是允许它们的去向。所有的规则都需要插入到特定的链上才能产生效果。书写规则的语法的格式为：

Iptables [-t table] command [match] [target | jump]

-t 指定表名，一般情况下没必要指定使用的表，因为iptables默认使用filter表来执行所有的命令。

command 指该条规则需要进行什么操作。如在该表中的某一链上插入或删除一条规则等

match 此项描述与该规则匹配的数据包的特征。如指定数据包的来源IP，网络接口等等。

target 是最后数据包的目的所在，对于符合match的数据包，由target处理。

　　下面介绍几个简单的iptables规则：

iptables –I INPUT 1 -i eth0 –p all –j ACCEPT

该脚本的作用是在默认的filter表的INPUT链的第一个位置插入一条过滤规则——接受经过以太网卡0(eth0)所有协议的数据包。从链表图中可以看到，一个传入本机的数据包，在fiter表的INPUT链上被接受，则意味着应用程序能够接收到此数据包。

　　iptables –A INPUT –i eth0 –p icmp –icmp-type 8 –j DROP

在filter表的INPUT链的最后追加一条规则——丢弃通过eth0传入的序号为8的icmp协议数据包，即ping request，这样其他主机将不能成功的ping通本机了。