Centos防火墙iptables详解

1、Centos防火墙iptables是在kernel层实现的，工作在2至4层，iptables根本就没有服务，我们经常在系统中使用的命令servie iptables只是客户端的一个脚本或者工具，只是告诉kernel帮忙加个参数修改参数等交互，再次强调iptables没有服务的概念。

2、普通用户是不能用Ping命令的当我们使用命令su – testing,从超级用户切换到普通用户testing的时候，通过id可以看到已经切换到普通用户，普通用户是没有权限执行ping命令，但实际是可以的，如下图箭头所指的地方，用户权限这里增加s的意思是任何用户在执行ping命令的时候进行身份切换用该文件的宿主权限执行，也就是超级用户。

4、Iptables有3张表，分别是filter表、nat表、mangle表，filter是做包过滤的，nat是做地址转换的，mangel是给溟猫钽吟第3方做开发的。Filter过滤表可以对INPUT、OUTPUT、FORWARD进行过滤。在检查点input这个地方是对进入本地的数据包进行检查，在检查点output这个地方是本地要发出的数据包进行检查，在检查点forward这个地方是当数据包进入路由表后，发现目的地不在本地的时候需要转发的数据包进行检查。Iptables –t filter -A INPUT –s 10.0.0.1/24 –j DROP,指定对filter表进行过滤，默认类型就是-t filter，可以不写，-A是追加的意思，-s是源为10.0.0.0/24的包进行drop。