一、前序

安全 
防火墙 【主机】 
selinux 
pam 
nis 
防火墙： 
软件  Windows：ISA    LINUX  iptables 
硬件  cisco pix ---》asa 
      天融信  ---》网络安全卫士 
      H3C  ---->SECPATH 
      神州数码 --也有自己的防火墙

没有规则，说明防火墙没有启动。

setup，如果界面出现乱码，vim /etc/sysconfig/i18n  语言禁掉

启动之后，默认是有规则的。

一般都先去除默认规则，然后，按自己要求，重设。去除默认规则如下：setup

二、iptables是什么？

通过编译内核知道，用户空间是通过构造函数来调用内核空间的已定义的东西了。

表格 
nat  POSTROUTING 【路由判断之后，比对过路由表之后，已经判断从哪个接口出了】  SNAT 
     PREROUTING   【路由判断之前,还没有比对路由表了】  DNAT 
     OUTPUT  一般不用 
filter  INPUT   OUTPUT   FORWARD 
mangle（群集会调用）   QOS 
raw

上面是针对nat表，下面是针对filter表。

三、iptables的分类

层次 
     网络层 【包过滤】  三层 来源  目标  icmp    arp 
                        四层  tcp  udp   源端口  目标端口 
                              tcp标志位   【syn  ack   fin  rst】 
      支持应用多  过滤有限 
    应用层 代理网关【squid】 
              三层 来源  目标  icmp    arp 
              四层  tcp  udp   源端口  目标端口 
                     tcp标志位   【syn  ack   fin  rst】 
              应用层  协议 【http  ftp  ssh  telnet  qq  xunlei  pplive】 
                      网址     sina 
                      域名     .sina.com.cn 
      支持应用少    过滤灵活 
                      帐号

四、iptables举例

分清：走的时候换的是来源，回来换的是目的。

例1：snat的应用之访问外网web

ping 192.168.101.254 不通

有很大的延迟，可以ping通了！

xp下route print查看路由表

看到已经有数据包匹配了~

这里的http：//192.168.101.254 管理页面

以下：个人手写笔记！‘

例2：DNAT 的使用

测试：远程打开

给管理员一个密码

原理的windows server 2003 的那台机器，访问

远程到xp上看：

在内网xp上，访问http://192.168.101.6

在internet的那台101.6机器上用netstat –an 查看来源ip是谁

这里因为做了SNAT，所以，来源ip为192.168.101 .3

例3：如果是pppoe ，每天的ip都是不同的，就不能只固定192.168.101.3一个了，该怎么办？

在内网ping 192.168.101.6是通的，看看有没有数据包匹配

本文转自 gjp0731 51CTO博客，原文链接:http://blog.51cto.com/guojiping/1250679