一：前言

　　防火墙用于实现Linux下访问控制的功能的，它分为硬件的或者软件的防火墙两种。无论是在哪个网络中，防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作，这就是防火墙的策略，规则，以达到让它对出入网络的IP、数据进行检测。

　　目前市面上比较常见的有3、4层的防火墙，叫网络层的防火墙，还有7层的防火墙，其实是代理层的网关。

　　对于TCP/IP的七层模型来讲，我们知道第三层是网络层，三层的防火墙会在这层对源地址和目标地址进行检测。但是对于七层的防火墙，不管你源端口或者目标端口，源地址或者目标地址是什么，都将对你所有的东西进行检查。所以，七层防火墙更加安全，但是这却带来了效率更低。所以市面上通常的防火墙方案，都是两者结合的。而又由于我们都需要从防火墙所控制的这个口来访问，所以防火墙的工作效率就成了用户能够访问数据多少的一个最重要的控制，配置的不好甚至有可能成为流量的瓶颈。

　　二：iptables 工作原理

　　iptables的结构：iptables -> Tables -> Chains -> Rules. 简单地讲，tables由chains组成，而chains又由rules组成。如下图所示。

　　五个规则链。

　　1.PREROUTING (路由前)

　　2.INPUT (数据包流入口)

　　3.FORWARD (转发管卡)

　　4.OUTPUT(数据包出口)

　　5.POSTROUTING（路由后）

　　这是NetFilter规定的五个规则链，任何一个数据包，只要经过本机，必将经过这五个链中的其中一个链。

　　iptables具有Filter， NAT， Mangle， Raw四种内建表：

　　1. Filter表

　　Filter表示iptables的默认表，因此如果你没有自定义表，那么就默认使用filter表，它具有以下三种内建链：

　　INPUT链 – 处理来自外部的数据。

　　OUTPUT链 – 处理向外发送的数据。

　　FORWARD链 – 将数据转发到本机的其他网卡设备上。

　　2. NAT表

　　NAT表有三种内建链：

　　PREROUTING链 – 处理刚到达本机并在路由转发前的数据包。它会转换数据包中的目标IP地址（destination ip address），通常用于DNAT(destination NAT)。

　　POSTROUTING链 – 处理即将离开本机的数据包。它会转换数据包中的源IP地址（source ip address），通常用于SNAT（source NAT）。

　　OUTPUT链 – 处理本机产生的数据包。

　　3. Mangle表

　　Mangle表用于指定如何处理数据包。它能改变TCP头中的QoS位。Mangle表具有5个内建链：

　　PREROUTING

　　OUTPUT

　　FORWARD

　　INPUT

　　POSTROUTING

　　4. Raw表

　　Raw表用于处理异常，它具有2个内建链：

　　PREROUTING chain

　　OUTPUT chain

　　iptables还支持自己定义链。但是自己定义的链，必须是跟某种特定的链关联起来的。在一个关卡设定，指定当有数据的时候专门去找某个特定的链来处理，当那个链处理完之后，再返回。接着在特定的链中继续检查。

　　注意：规则的次序非常关键，谁的规则越严格，应该放的越靠前，而检查规则的时候，是按照从上往下的方式进行检查的。

　　牢记以下三点式理解iptables规则的关键：

　　Rules包括一个条件和一个目标(target)

　　如果满足条件，就执行目标(target)中的规则或者特定值。

　　如果不满足条件，就判断下一条Rules。

　　在target里指定的特殊值：

　　ACCEPT – 允许防火墙接收数据包

　　DROP – 防火墙丢弃包

　　QUEUE – 防火墙将数据包移交到用户空间

　　RETURN – 防火墙停止执行当前链中的后续Rules，并返回到调用链(the calling chain)中。