四表五链

链:PREROUTING,INPUT,FORWARD,OUTROUTING,POSTROUTING

PREROUTIN:在路由之前

INPUT:进入主机

FORWARD:转发

OUTPUT:出主机

POSTROUTING:路由之后

表:filter,nat,mangle,raw

filter:过滤

INPUT

OUTPUT

FORWARD

nat:地址转换

PREROUTIN

OUTPUT

POSTROUTING

mangle:拆分、修改、封装数据包(如修改ttl值后再封装转发)

PREROUTIN

INPUT

FORWARD

OUTPUT

POSTROUTING

raw:保持原格式数据包

PREROUTIN

OUTPUT


优先级:raw-->mangle-->nat-->filter(由高到底)

规则:匹配标准、处理动作

匹配标准:

通用匹配:

-s/--src:源地址或网络

-d/--dst:目标地址或网络

-p:指定协议(四层协议tcp|udp|icmp)

-i:指定数据报文流入的接口

可用于定义标准的链:PREROUTIN,INPUT,FORWARD

-o:指定数据报文流出的接口

可用于定义标准的链:OUTPUT,FORWARD,POSTROUTING

扩展匹配:

隐含扩展:不用特别指明哪个模块进行的扩展,因为此时使用-p{tcp|udp|icmp}

-p tcp

--sport:源端口

--dport:目标端口

-p icmp

--icmp-type

0:echo-reply(响应)

8:echo-request(请求)

-p udp 

--sport

--dport

显示扩展:必须指明由哪个模块进行的扩展,在iptables中使用-m选项可完成此功能

-m state(加载state模块)

state:状态扩展

结合ip_conntrack追踪会话状态

NEW:新连接请求

ESTABLISHED:已建立的连接

INVLID:非法连接

FELATED:相关联的

-m state --state NEW,ESTABLISHED -j ACCEPT(允许新连接和已建立的连接通过)

multiport:离散的多端口匹配

--source-ports:源端口

--destination-ports:目标端口

--ports:端口

iprange:多网络扩展

--scr-range

--dst-range

iptables -A INPUT -p tcp -m iprange --src-range 192.168.1.1-192.168.1.100 --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

允许192.168.1.1-192.168.1.100访问在NEW,ESTABLISHED状态的80端口

connlimit:连接数限制

--connlimit-above:上限

ACCEPT常用取反

! --connlimit-above 5(允许低于5个)

limit:速率限定

--limit:

--limit 5/minate

--limit-burst:同时发起的访问量

--limit-burst 5

string:字符串限定

--algo {bm|kmp}:匹配算法(两个中选一个)

--strimg:要匹配的字符串

-j:处理动作

ACCEPT:允许

DROP:丢弃

REJECT:拒绝

LOG:日志

命令:

管理规则

-A:附加一条规则,在链的尾部

-I CHAIN [num]:添加规则在CHAIN链的第num条,没有指明位置的,添加在第一条

-D CHAIN [num]:删除CHAIN链的第num条规则

-R CHAIN [num]:替换CHAIN链的第num条规则

管理链

-F [CHAIN]:清空指定链中的规则,如果没指定CHAIN链,则删除对应表中的所有链

-P:指定链的默认策略

-N:自定义一个新的空链

-X:删除一个自定义的空链

-Z:置零指定链中所有规则的计数器

-E:重命名自定义的链

查看

-L:显示指定表中的规则

-n:以数字格式显示主机地址和端口号

-v:显示详细信息

-x:显示精确值

--line-numbers:显示规则号码


保存配置

service iptables save(保存到默认位置)

/etc/sysconfig/iptables

保存到默认位置的不用导入配置

iptables-save > /etc/sysconfig/iptables.20160201

保存到自定义目录/etc/sysconfig/iptables.20160201

iptables-restore < /etc/sysconfig/iptables.20160201

将保存到自定义目录/etc/sysconfig/iptables.20160201的配置导入

条件取反:用!(感叹号)

! 192.168.1.1(除了192.168.1.1)