iptables基础 iptables-save iptables-persistent持久化

介绍

iptables由上而下,由Tables,Chains,Rules组成。

一、iptables的表tables与链chains

iptables有Filter, NAT, Mangle, Raw四种内建表:

1. Filter表

Filter是iptables的默认表,它有以下三种内建链(chains):

INPUT链     OUTPUT链     FORWARD链

2. NAT表

NAT表有三种内建链:

PREROUTING链     POSTROUTING链     OUTPUT链

3. Mangle表

Mangle表用于指定如何处理数据包。它能改变TCP头中的QoS位。Mangle表具有5个内建链(chains):

PREROUTING链      OUTPUT链      FORWARD链     INPUT链     POSTROUTING链

4. Raw表

Raw表用于处理异常,它具有2个内建链:

PREROUTING链     OUTPUT链

iptables基础 iptables-save iptables-persistent持久化_第1张图片

PREROUTING链:interface接口接收后立即,数据包将在做出路由决策之前进入该链。

POSTROUTING链:在离开interface接口之前,已做出路由决定。数据包在传递给硬件之前进入此链。

INPUT链:在传递给本地进程之前。

OUTPUT链:由本地进程创建后立即。从机器本身发送的数据包将访问该链。

FORWARD链:将数据转发到本机的其他网卡设备上

二、IPTABLES 规则(Rules)

Rules包括匹配条件和处理动作(target)

如果满足条件,就执行目标(target)中的动作。如果不满足条件,就判断下一条Rules。

target 动作:

REDIRECT:在本机做端口映射。

ACCEPT:允许数据包通过。

DROP:直接丢弃数据包,不给任何回应信息,过了超时时间才会有反应。

REJECT:拒绝数据包通过,必要时会给数据发送端一个响应的信息,客户端刚请求就会收到拒绝的信息。

SNAT:源地址转换,解决内网用户用同一个公网地址上网的问题。

MASQUERADE:是SNAT的一种特殊形式,适用于动态的、临时会变的ip上。

DNAT:目标地址转换。

LOG:在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则,也就是说除了记录以外不对数据包做任何其他操作,仍然让下一条规则去匹配

iptables -t filter --list #查看filter表

iptables -t mangle --list #查看mangle表:

iptables -t nat --list #查看NAT表:

iptables -t raw --list #查看RAW表:

规则添加相关参数介绍: -A chain:指定要追加规则的链    -p tcp 指定协议(protocol)    -–sport 80 来源端口(source port)    --dport 80 目的端口      -j 指定target动作      -s:指定源地址,可以是IP地址,也可以是网段"192.168.109.10/24";"-s 为空",表示拒绝所有;

如下示例解析 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8088

匹配条件:

-t nat: 指定使用"nat"表,这个表用于处理网络地址转换(NAT)相关规则。

-A PREROUTING: 添加规则到"PREROUTING"链,这个链在数据包到达本地计算机之前进行处理。

-p tcp: 匹配传输层协议为TCP的数据包。

--dport 80: 匹配目标端口为80的数据包。

target动作:

-j REDIRECT: 将匹配到的数据包重定向到指定的目标。   --to-port 8088 重定向到8088

使用 

1.启用ipv4转发

vim /etc/sysctl.conf

net.ipv4.ip_forward=1

sysctl -p

2.添加iptables规则

 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8088 #追加一条规则: 将本机的 80 端口转发到 8088 端口。

 iptables -t nat -L #查看nat 转发规则

 iptables -t nat -D PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8088 #删除规则

3.持久化当前iptables配置,并开机重载

3-1.iptables-save:

利用iptables-save命令可以将iptable规则保存到一个持久化存储的目录中,不同的系统保存的目录也有所不同(IPv4):

Debian/Ubuntu: iptables-save > /etc/iptables/rules.v4

RHEL/CentOS: iptables-save > /etc/sysconfig/iptables

保存之后,可以通过iptables-restore命令载入(IPv4):

Debian/Ubuntu: iptables-restore < /etc/iptables/rules.v4

RHEL/CentOS: iptables-restore < /etc/sysconfig/iptables

如果你有使用IPv6的规则,通常需要执行下面对应的IPv6保存和恢复的命令:

Debian/Ubuntu: ip6tables-save > /etc/iptables/rules.v6

RHEL/CentOS: ip6tables-save > /etc/sysconfig/ip6tables

注意: 这种方式只是保存规则和恢复的一种方式,并不是说保存规则后下次启动就会自动加载。一定要记住这点,如果要想系统启动后自动加载请看下面的方式。

3-2.iptables-persistent

apt-get install iptables-persistent

 systemctl list-units --type=service | grep "persistent" #模糊搜索 serviceName

 netfilter-persistent save   #持久化当前iptables配置, 删除规则之后 重新执行save即可

# 当前建立的任何 iptables 规则都将保存到以下相应的 IPv4 和 IPv6 文件中:

/etc/iptables/rules.v4

/etc/iptables/rules.v6

cat /etc/iptables/rules.v4

你可能感兴趣的:(网络,服务器,linux)