iptables的语法：iptables [-t table] command [match] [-j target/jump]-t 参数用来指定规则表，内建的规则表有三个，分别是：nat、mangle 和filter，当未指定规则表时，则一律视为是filter。各个规则表的功能如下：nat 此规则表拥有PREROUTING和POSTROUTING两个规则链，主要功能为进行一对

本文旨在用为公司做防火墙的实例，让大家对Linux+iptables做防火墙的安装和配置有一个大致的了解，希望能起到抛砖引玉的作用。先了解一下公司的环境，公司利用2MADSL专线上网，电信分配公用IP 为218.4.62.12/29,网关为218.4.62.13,公司有电脑五十多台，使用DHCP，IP 是192.168.2.XXX，DHCPServer 建在iptables Server 上；

要在网上传输的数据会被分成许多小的数据包，我们一旦接通了网络，会有很多数据包进入、离开或者经过我们的计算机。首先我们要弄明白，防火墙将怎么对待这些数据包。这些数据包会经过一些相应的规则链，比如要进入你的计算机的数据包会首先进入INPUT链，从我们的计算机发出的数据包会经过OUTPUT链，如果一台计算机做一个网络的网关（处于内网和外网两个网络连接的两台计算机，这两台计算机之间相互通讯的数据包会经

iptables-Fiptables-Xiptables-F -t mangleiptables-t mangle -Xiptables-F -t natiptables-t nat -X首先，把三个表清空，把自建的规则清空。iptables-P INPUT DROPiptables-P OUTPUT DROPiptables-P FORWARD ACCEPT设定INPU

1.概述1.1 什么是NAT在传统的标准的TCP/IP 通信过程中，所有的路由器仅仅是充当一个中间人的角色，也就是通常所说的存储转发，路由器并不会对转发的数据包进行修改，更为确切的说，除了将源MAC地址换成自己的MAC地址以外，路由器不会对转发的数据包做任何修改。NAT(Network Address Translation 网络地址翻译)恰恰是出于某种特殊需要而对数据包的源ip地址、目的

防火墙的简介防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合，它能增强机构内部网络的安全性。它通过访问控制机制，确定哪些内部服务允许外部访问，以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。防火墙通过审查经过的每一个数据包，判断它是否有相匹配的过滤规则，根据规则的先后顺序进行一一比较，直到满足其中的一条规则为止，然后依据控制机制做