- IPTables 分析進入主機的網路封包,針對封包的表頭資料 (Header) 進行過濾條件 rules 的設定,對連線封包進行「放行符合」與「封鎖不符合」或「丟棄不符合」的雙向安全管理機制。
- 規則是以列表的方式被加進每條規則鏈。
- 每個封包會從第一條規則開始檢查,依序至最後一條。
- 若封包符合其中一條規則,對應的動作就會被執行,例如接受 (ACCEPT) 或丟棄 (DROP)封包,且不再檢查後面的規則。
- 若封包通過所有檢查且不符合任何規則鏈內的任何一條規則,則執行該條規則鏈的預設動作,也就是預設政策。
- 預設政策可以設定為接受 (ACCEPT) 或丟棄 (DROP) 封包。
- 預設政策丟棄 (DROP) 所有封包:必須加入規則來接受 (ACCEPT) 來自信任 IP 位址的封包,或者開啟那些提供服務的連接埠,如:FTP 伺服器、網頁伺服器、mail 伺服器等。一般用於 INPUT 規則鏈。
- 預設政策接受 (ACCEPT) 所有封包:必須加入規則來攔截 (DROP) 來自有問題 IP 位址或系列的封包,也或者阻止封包進出只作私人用途或未提供服務的連接埠。一般用於 OUTPUT 規則鏈。
