本文转蝲?http://6509e.blog.51cto.com/542252/124312
IPTABLES
Iptables 基础Q规则、链、表
规则Q就是网l管理员预定义的条gQ规则一般定义ؓ“如果数据包头W合q样的条Ӟp样处理这个数据包”。规则存储在内核I间的信息包qo表中Q这些规则分别定义了源地址、目的地址、传输协议(?/span>TCP,UDP,ICMPQ和服务cd(HTTP,FTP,SMTP){,当数据包与规则匹配时Q?/span>iptables根据规则所定义的方法来处理q些数据包,如放?/span>(accept),拒绝(reject),和丢?/span>(drop){。配|防火墙主要工作是dQ修改和删除q些规则?/span>
链:链(CHAINSQ是数据包传播的途径Q每一条链其实是众多规则中的一个检查清单,每一条链可以有一条或数条规则。当一个数据包到达一条链Ӟiptables׃链中W一条规则开始检查,看该数据包是否满则定义的条g。如果满Ipȝ׃Ҏq条规则所定义的方法处理该数据包;否则iptablesl检查下一条规则,如果该数据包不符合链中Q一条规则,iptables会按照默认{略来处理数据包?/span>
表:表(tablesQ提供了特定的功能,iptables内徏?/span>3个表Q即filter表?/span>nat表、和mangle表。分别用于实现包qoQ网l地址转换和包重构的功?/span>
Filter?/span>
Filter表主要是用于qo数据包,?/span>iptables的默认表Q包含了INPUT链(用于处理q入的数据包Q,FORWORD链(处理转发的数据包Q,OUTPUT链(处理本地生成的数据包Q。在filter表中只允许对数据包进行接受、丢弃操作,而无法对数据包进行修攏V?/span>
Nat?/span>
Nat表主要用于网l地址转换Q可以实C对一Q一对多Q多对多{?/span>NAT工作Q包含了PREROUTING链(修改卛_到来的数据包Q,OUTPUT链(修改路由之前本地生成的数据包Q和POSTROUTINGQ修改即出ȝ数据包)?/span>
Mangle?/span>
Mangle表主要用于对指定包进行修改,?/span>TTL,TOS{。用的很?/span>
IPTABLES传输数据包的q程
1?nbsp;当一个数据包q入|卡Ӟ他首先进?/span>PREROUTING链,内核Ҏ数据包目?/span>IP判断是否需要{发出厅R?/span>
2?nbsp;如果数据包是q入本机的,׃向下?/span>INPUT链。数据包到达INPUT铑QQ何进E都会接受。本Zq行的程序也可以发出数据包,q些数据包会l过OUTPUT链,然后到达POSTROUTING链输出?/span>
3?nbsp;如果数据包是要{发出ȝQ且内核允许Q数据包׃l过FORWARD链,然后?/span>POSTROUTING链输出?/span>
用户可以在各个链定义规则?/span>
Iptables命o格式Q?/span>
iptables [-t ?/span>] –命o 匚w 动作
1?nbsp;表选项Q?/span>filter表,nat表和mangle?/span>
2?nbsp;命o选项Q用于指定执行方式,包括插入规则、删除规则、添加规则等?/span>
-P或?/span>—policy 定义默认{略
-L或?/span>--list 查看iptables规则列表
-A或?/span>--append 在规则列表最后面d1条规?/span>
-I或?/span>--insert 在指定位|插?/span>1条规?/span>
-D或?/span>--delete 从规则列表中删除1条规?/span>
-R或?/span>--replace 替换规则列表中的某条规则
-F或?/span>--flush 删除表中所有规?/span>
-Z或?/span>--zero 表中数据包计数器和量计数器清?/span>
3、匹配选项Q匹配指定数据包与规则匹配所h的特征,包括源地址、目的地址、传输协议和端口?/span>
-i或?/span>—in-interface <|络接口名称> 指定数据包从哪个|络接口q入Q如ppp0,eth0
-o或?/span>—out-interface <|络接口名称> 指定数据包从哪个|络接口出
-p或?/span>—proto <协议cd> 指定数据包匹配的协议tcp,udp,icmp{?/span>
-s或?/span>—source <源地址或子|?/span>> 指定数据包匹配的源地址
--sport <源端口号> 指定数据包匹配的源端口号
-d或?/span>—destination <目的地址或者子|?/span>>
--dport <目标端口?/span>>
4、动作选项Q指定当数据包与规则匚wӞ应该做什么操作,如接口,丢弃{?/span>
ACCEPT 接受数据?/span>
DROP 丢弃数据?/span>
REDIRECT 数据包重新转向到本机或另外一C机的某个端口
SNAT 源地址转换
DNAT 目的地址转换
MASQUERADE IP伪装Q即NAT技?/span>
LOG 日至功能Q将W合规则的数据包的相关信息记录在日至?/span>
Iptables的?/span>
1?nbsp;定义默认{略
iptables [-t 表名] <-P> <铑> <动作>
例如Q?/span>iptables –P INPUT ACCEPT 定义filter?/span>INPUTN认策略接受所有数据包
iptables –t nat –P OUTPUT DROP ?/span>nat?/span>OUTPUTN认策率丢弃所有数据包
技巧,定义默认规则拒绝所?/span>
iptables –P INPUT DROP
iptables –P FORWARD DROP
iptables –P OUTPUT ACCEPT
2?nbsp;查看iptables 规则
iptables [-t 表名] <-L> [铑]
例如查看nat表所有链的规则列?/span>
Iptables –t nat –L
3?nbsp;增加、插入、删除和替换规则
Iptables [-t 表名] <-A ?/span>I?/span> D?/span> R> 铑 [规则~号] [-i?/span> o |卡名称 ] [-p 协议cd] [-s 源地址或子|?/span>] [--sport 源端口号] [-d目的IP地址或子|?/span>] [--dport 目的端口?/span>] <-j 动作>
例如?/span>filter?/span>INPUT链添?/span>1条规?/span>
iptables –t filter –A INPUT –s 192.168.1.200 –j DROP
例如?/span>filter?/span>INPUT链规则列表中W?/span>2条规则前插入1条规?/span>
iptables –t filter –I INPUT 2 –s 192.168.2.0/24 –p tcp –dport 80 –j DROP
例如删除filter?/span>INPUT链规则列表中W?/span>3条规?/span>
iptables –t filter –D INPUT 3
使用iptables实现NAT
首先要开启内核\由功能:
echo “1”> /proc/sys/net/ipv4/ip_forward
然后实现IP伪装Q在nat表中?/span>POSTROUTING铑֊入一条规则,q条规则是将所有由ppp0口送出的包伪装?/span>
iptables –t nat –A POSTROUTING –o PPP0 –j MASQUERADE
查看规则虽然可以用iptables -L 来查看,但是信息q不完全Q所以还是用cat /etc/sysconfig/iptables 来查?/div>
注意Q每ơ添加或者删除规则后Q要service iptables save
]]>