IPtablesはLinux 2.4の穀粒でそれへ用具行うパケットフィルタをである。 それは前のバージョンのipchainsのための 取り替えである。 ネットワークを通して移る全体のデータは包みの形態にである。包みのヘッダーは私達に旅程の決定および他の管理上の細部を作るために要求される情報を与える。 移されている実際のデータはボディに属する。 包みをろ過するためには、ヘッダーは検査され、適切な行動は取られる。

質問はそれから私達がヘッダーを検査し、包みをろ過する必要があるなぜか起こるか。 大きな理由は高めるネットワークの保証をある。 例えば私達は悪意のある局外者から私達のシステムを保護したいと思うかもしれない。 もう一つの理由は私達私達のネットワークに属する資源の使用法を制限するか、または制御したいと思うかもしれないである。 例えば私達は交通の限られたammountだけ渡るようにたいと思うかもしれない。

基本フォーマット
テーブル
優先買受権はテーブルである。 Nat.即ち3種類のテーブルマングルおよびフィルターがある。
Nat.: このテーブルはネットワーク・アドレス変換のために使用される。 3つの鎖PREROUTING、出力およびPOSTROUTINGがある。 防火壁に入るとすぐPreroutingの鎖が包みを変えるのに使用されている。 出力鎖が局部的に発生する包みを変えるのに使用されている。 包みを変えるのにそして防火壁を去っていると同時にpostrouting鎖が使用されている
マングル: このテーブルが包みを台無しにするのに使用され、2つのデフォルトの鎖がある。 このテーブルはフィルター包みに使用されるか、またはアドレス変換をするべきではない。 2つのデフォルトの鎖はPREROUTINGおよび出力である。 ここのNat.テーブル包みを台無しにすることをのpreroutingと同じように防火壁に入ると同時にまた使用する。 局部的に発生する包みを台無しにするのにそして出力が使用されている。 このテーブルはヘッダーがいかに現われるか異なった包みを変え。 例えばTTLかTOS。
フィルター: これが実際に包みをろ過するのに使用され、テーブルの選択がそれから指定されなければ命令はこれにテーブル適用される。 3種類の鎖が入力、出力および前方ある。 入力鎖はローカルホストのために運命である包みで使用される。 上の場合のように出力は局部的に発生させた包みで使用される。 そして先に他のすべての鎖で使用される。 とることができる処置は各鎖で低下、丸太であるか、受け入れるか、または拒絶する。

命令

マッチ
これは延長包みの一致モジュールとしてに使用される。 使用された-より多くの選択に先行している- m (-マッチ)またはp (-議定書の) 2つの選択がある。 一致させることができる議定書の選択はtcp、udpおよびicmpである。 マッチの選択は印、限界、所有者、ttl、TOS、国家等である。 重要な3つは一度ttl、TOSおよび国家である。 ttlおよびTOSは自己explainatoryである。 州の選択は包みのどの状態が規則と一致するべきであるか告げる。 、確立されて無効な、4つの州が新しく、関係したある。 続くことはマッチの使用法の例である:

iptables -入力-はmの州の州、確立されて関連していた
iptables -出力- m ttl - ttl 60
iptables -入力- p tcp - dport 22のターゲットかジャンプ

鎖の規則がおよびexmainedとき包みが行為にターゲット選択に入る一致させる規則のtowhichがない。 許可される選択は受け入れるか、落ちるか、列を作るか、または戻るある。 ターゲットは- Pと使用される。 ジャンプの選択は包みが規則に一致させればターゲットがそれ規則のターゲットを指定する同じである。

コンフィギュレーション・ファイル
コンフィギュレーション・ファイルの位置はスタートアップスクリプト/etc/rc.d/init.d/iptablesで指定される。 このコンフィギュレーション・ファイルはiptablesによって始まるとき読まれる。 従って変更のパーマに私達はするためにこのファイルを編集しなければならない。 どんなに手動でそれを編集しないで行なわれているへの変更をこのファイル救う原稿のの上の開始に選択が「saveある。 従って配置の後ですべての規則は次の命令を動かす:

このファイルの実際の位置を除けば/etc/rc.d/init.d/iptablesは/etc/sysconfig/iptablesである。

Iptablesのための例