Linux防火墙之IPtables概念与用法

核心提示： 那些ISP会查找一台单独的计算机是否使用不同的TTL，并且以此作为判断连接是否被共享的标志，Linux防火墙之IPtables概念与用法(4)，MARK用来给包设置特殊的标记，iproute2能识别这些标记，以下简称为状态防火墙，状态防火墙比非状态防火墙要安全，并根据不同的标记（或没有标记

那些ISP会查找一台单独的计算机是否使用不同的TTL，并且以此作为判断连接是否被共享的标志。

MARK用来给包设置特殊的标记。iproute2能识别这些标记，并根据不同的标记（或没有标记） 决定不同的路由。用这些标记我们可以做带宽限制和基于请求的分类。

命令（command）

命令中必要的组成部分command是iptables命令的最重要部分。它告诉 iptables 命令要做什么，例如，插入规则、将规则添加到链的末尾或删除规则。

在使用iptables时，如果必须的参数没有输入就按了回车，那么它就会给出一些提示信息，告诉你需要哪些参数等。iptables的选项-v用来显示iptables的版本，-h给出语法的简短说明。

匹配（match）

iptables命令的可选match部分指定信息包与规则匹配所应具有的特征（如源和目的地地址、协议等）。可把它们归为五类：第一类是generic matches（通用的匹配），适用于所有的规则；第二类是TCP matches，顾名思义，这只能用于TCP包；第三类是UDP matches， 当然它只能用在UDP包上了；第四类是ICMP matches ，针对ICMP包的；第五类比较特殊，针对的是状态，指所有者和访问的频率限制等。在此，只介绍通用匹配，熟悉了通用匹配，其它的几种也就比较容易理解了。

目标（target）

我们已经知道，目标是由规则指定的操作，那些与规则匹配的信息包执行这些操作。除了允许用户定义的目标之外，还有许多可用的目标选项。用于建立高级规则的目标，如LOG、REDIRECT、MARK、MIRROR 和MASQUERADE等。

状态机制

状态机制是iptables中特殊的一部分，其实它不应该叫状态机制，因为它只是一种连接跟踪机制。但是，很多人都认可状态机制这个名字。连接跟踪可以让netfilter知道某个特定连接的状态。运行连接跟踪的防火墙称作带有状态机制的防火墙，以下简称为状态防火墙。状态防火墙比非状态防火墙要安全，因为它允许我们编写更严密的规则。