浅谈redhat６里面的iptables

对于已经用惯redhat７的人来说，红帽系统６和７里面比较大的差别之一其实就算是防火墙了。６里卖面防火墙主要是依靠iptables来实现，但到了centos７或红帽七的系统里面，iptables的功能已经被大大的弱化了，取而代之的却是firewall软件系统。

首先不得不先说一下在红帽７当中的防火墙。在红帽７当中，防火墙不单只是一堵墙，把不受欢迎的ip网段或域名挡在外面，而且也能实现端口转发的功能。总体上看防火墙的功能还是很强大的。

(1) firewall-cmd --permanent --add-source=172.34.0.0 --zone=block

　把来自172.34.0.0网段的来访者禁止访问。

(2) firewamm-cmd --permanent --zone=trucked　--add-forward=port=port=5423:porto=tcp:toport=80

　访问本地的端口5423将会被转发到80端口。

但对比７里面的防火墙功能，６里面的iptables就显得更为复杂了。首先需要介绍的是iptables的四表五链。

四表：raw（网址过滤）、magle（数据包的修改）、net（地址转换）、filter（包过滤）。

五链：INPUT（处理输入数据包）、OUTPUT（处理输出数据包）、PORWARD（处理转发数据包）、PREROUTING（用于目标地址转换）、POSTROUTING（用于源地址转换）

相比firewalld，iptables的规则要复杂的多。下面就举个简单的例子。

允许本地回环接口访问本机：

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

允许访问本地的80端口：

iptables -A INPUT -p tcp --deport 80 -j ACCEPT

拒绝主机8.8.8.8的访问：

iptables -I INPUT -s 8.8.8.8 -j DROP

这些是我对于firewall和iptables对比的一些愚见。当然，本人是先接触红帽７，后接触红帽６的。所以从主观角度来看，当然是习惯于适用红帽７的防火墙。但对于很多先接触红帽６的人来说，iptables才更符合他们的使用习惯。这里只是给有相似经历的小伙伴们一些分享而已。