Understanding iptables for linux(firewall)

 iptables（Unix-like 下的firewall）

�P�I字：Netfilter、 Nat、 filter、 mangle、 PERROUTING、 POSTROUTING、 INPUT/ OUTPUT、 FORWARD、 

具�w�W�iptables之前，我��首先要�t解到filter，nat，mangle三��表格，和三��表格�Y面的各��chains。

filter表有INPUT、OUTPUT、FORWARD。三�lchains。其具�w的功能�是�man

nat表有PERROUTING（包�M入）、 POSTROUTING（包出去）、 OUTPUT三�lchains。其具�w的功能依�fman

mangle表有PERROUTING、 OUTPUT、 INPUT、 FORWARD、 POSTROUTING三�lchains。其具�w的功能forever man。^ -- ^

man後的�Y果在-t�x�出�有raw表格，man�o出的原文是：This  table  is  used mainly for configuring exemptions from connection tracking in combination with the NOTRACK  target. It registers at the netfilter hooks with higher priority and is thus called before ip_conntrack, or any other IP  tables. It  provides  the following built-in chains: PREROUTING (for packets arriving via  any  network  interface)  OUTPUT  (for packets generated by local processes)。

�@��表和表�Y面各�lchains有很大的�P�，���J真熟悉。

具�w的�是iptables的各����怠＞唧w的��涤泻芏啵��是��J真��xman手�皂�。

常用到的��导熬唧w的功能如下：

-A：追加一�l��t。

-I：插入一�l��t，如�]制定���t的number，�t�成第一�l。有INPUT、OUTPUT、FORWARD，此chain又�c-io有�P。

-t：table，eg：nat/filter

-L：list，具�wtable的rule。

-n：不�M行ip到hostname的查�。

-v：更多的信息

使用查�後得到的信息解�，如下：

target：所�M行的�幼鳎�具�w有ACCEPT(放行），REJECT（拒�^），DROP（�G��）

prot：使用的packets protocol，有ICMP, TCP, UDP。

opt：�~外的�x��f明。

source：源地址

destination：目�说刂贰�

-F：清除（flush）所有的已定的��t

-X：�h除所有自�的chain或tables

-Z：�⑺�有的chain���w零

-P：制定Policy ， target包含ACCEPT、DROP

-i：�M入的那��network interface

-o：出去的那��network interface

-p：�f�h，封包的包格式，主要有TCP,UDP,IMCP,ALL

-s：源IP地址或�W域，若非�IP地址�t在ip地址前加！（感�@�）

-d：同源IP地址格式���，不�^�@是目�说刂�

-j：接的�幼鳎�主要的有ACCEPT（接受）、DROP（�G��）、REJECT（拒�^）、LOG（��）。前面三��都�t解後，�@��LOG的意思就是�脑吹刂愤M�淼�packages相�P的信息就��在/var/log/messages�@��日�I文件中。

--sport：後接端口或端口���，限制�碓吹亩丝凇�

--dport：格式同上，限制目�说亩丝凇�

TCP特殊的�苏ISYN：主�拥�TCP�B接�苏I。

iptables的外接module

-m：接外接module，常�的外接module有：state、mac

--mac-source：就是源主�C的MAC

--state：一些packages的��B，主要有：INVALID、ESTABLISHED、NEW、RELATED

INVALID：�o效的packets

ESTABLISHED：已��B接成功的�B接��B

NEW：想要建立新的�B接packages��B

RELATED：表示packages是�c本�C�l出去的packages有�P。

--icmp-type：後面必�接icmp包�型，也可用�型代�。

-j DNAT --to-destination IP:port ：端口映射。

-j REDIRECT --to-port <port number>：同�右彩嵌丝谟成洹�

在工作日上用了�商旖K於完成了�IPTABLES的�W�。我看了看man的手�皂�，�l�F�有很多很多的��担��]有�v到比如：-D�h除一�l��t，-C更改一�l��t，--line-numbers�@得iptables��t的��t��a，等等。更多的�x��是man更��M。

�@篇�W���Y�Y面只有一��命令，就是iptables其他的都是��岛透鞣Ntarget。