一.基本架构

    在Linux的内核中使用netfilter架构实现防火墙功能，iptables只不过是Linux为netfilter提供的管理工具，用于实现对Linux内核中网络防火墙的管控。

    iptables服务启动脚本：/etc/rc.d/init.d/iptables

    iptables的配置文件：/etc/sysconfig/iptables-config

    iptables的策略配置文件：/etc/sysconfig/iptables

    iptables服务的启动关闭：service iptables start/stop

二.iptables缺省的五条规则链：

三.iptables缺省的3个规则表：

   filter:用于设置包过滤                   input forward output   三个规则链

   nat:用于设置地址转换                    prerouting output postrouting  三个规则链

   mangle:用于设置网络流量整形等应用       mark 打标记
                                                                     ttl  生存时间
                                                                     tos  流量带宽限制

四.iptables的基本命令

   iptables  -t tables  -L   INPUT   -s source_ip  -p tcp|udp|icmp  –dport -j ACCEPT|DROP|REJECT
   iptables     filter   -A   OUTPUT
   iptables     nat      -I   FORWARD
   iptables     mangle   -D   PREROUTING
   iptables             -P   POSTROUTING
   iptables             -F
   iptables             -R
   

   应用实例：
   iptables -P drop -t filter                          /设置规则表默认策略
   iptables -F                                         /清楚规则链上的策略，但不能清除规则表默认策
   iptables -nL                                        /快速查看配置策略
   iptables -nvL                                        /快速查看配置策略v，其中包括细节，比如包拦截数量和字节数等。
   iptables -nL -t nat                                 /查看nat表策略
   iptables -A INPUT -s 10.0.0.85 -p tcp -dport 25 -j ACCEPT    /有-p必有端口-dport
   iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -p tcp –dport 80 -j SNAT –to 192.168.1.1:80
   iptables -t nat -A POSTROUTING -s 10.0.0.0/24 MASQUERADE
   service iptables save                                /储存策略
   chkconfig iptables on                                /默认开机启动
   watch iptables -nL 1                                 /实时查看iptables的状态，每隔1s看一次