iptables笔记 （二）

   上面写到了跟踪连接的四个状态， 所有在内核中由Netfilter（防火墙程序，iptables是管理这个程序的工具）的特定框架做的连接跟踪称作conntrack（就是connection tracking 的首字母缩写），conntrack可以作为内核的一个模块，也可以被编译到内核中。conntrack中有可以处理TCP， UDP或ICMP协议的部件。这些模块从数据包中提取详细的、唯一的信息，因此能保持对每一个数据流的跟 踪。这些信息也告知conntrack流当前的状态。例如，UDP流一般由他们的目的地址、源地址、目的端口和源端口唯一确定。而且conntrack在/proc/net/ip_conntrack文件中是可读的。

    规则的保存和恢复

    iptables规则的保存有两种方法：

    1、通过/etc/init.d/iptables，启动脚本自带的save参数保存规则，使规则在启动时能自动的加载。也就是

    #/etc/init.d/iptables save

   2、第二种方法是使用iptables-save命令把规则保存为一个文件，以便恢复（也就是用iptables-restore命令），例如：

    #iptables-save >/root/iptables-list      =>把当前规则保存为/root目录下的iptables-list文件(记得要用重定向)

  命令：

iptables-save [-c] [-t table]

 

参数-c的作用是保存包和字节计数器的值。这可以使我们在重启防火墙后不丢失 对包和字节的统计。带-c参数的iptables-save命令使重启 防火墙而不中断统计记数程序成为可能。这个参数默认是不使用的。

参数-t指定要保存的表，默认是保存所有的表。

 

   还原规则

       有备份就有还原，还原的用法：

iptables-restore用来装载由iptables-save保存的规则 集。不幸的是，它只能从标准输入接受输入，而不能从文件接受，也就是得用输入重定向

iptables-restore </root/iptables-list

 

下面是它的方法：

 

iptables-restore [-c] [-n]

 

参数-c要求装入包和字节计数器。如果你用iptables-save保存了计数器，现在 想重新装入，就必须用这个参数。它的另一种较长的形式是--counters。

参数-n告诉iptables-restore不要覆盖已有的表或表内的规则。默认情况是清除 所有已存的规则。这个参数的长形式是--noflush