iptables

iptables

iptables的三个表

1.filter（类似ACL）：系统预设，主要用于过滤数据包，内建三个链

• INPUT：作用于进入本机的包

• OUTPUT：作用于本机发出的包

• FORWARD：作用于那些跟本机无关的包（即期望靠本系统转发的包）

2.nat：主要用处是地址转换，也有三个链

• PREROUTING：更改包的目的地址

• OUTPUT：更改本地（本机）产生的包的目的地址

• POSTROUTING：更改包的源地址

3.mangle：主要用于给数据包打tag，然后根据标记去操作哪些包（类似Qos）

-t：指定表名，默认为filter表

-nvL：使用ip形式查看详细的规则列表

--line-numbers：显示规则序号

-F：清除当前规则

-Z：重置数据包和流量的计数器

/etc/init.d/iptables save：保存规则

防火墙规则保存在/etc/sysconfig/iptables文件中

-A chain：增加一条规则

-D chain：删除一条规则
-I chain：插入一条规则
-p：指定协议，可以是 tcp， udp 或者 icmp
--dport：跟-p 一起使用，指定目标端口
--sport：跟-p 一起使用，指定源端口

-s ：指定源 IP（可以是一个 ip 段）
-d：指定目的 IP（可以是一个 ip 段）
-j：后跟动作，其中 ACCEPT 表示允许包通过， DROP 表示丢弃包， REJECT 表示拒绝包
-i：指定进接口（不常用，但有时候能用到）

-o：指定出接口

-P chain：指定预设策略，DROP或ACCEPT（默认）

iptables -I INPUT -m iprange --src-range 61.4.176.0-61.4.191.255 -j DROP    \\针对一个地址范围

iptables -I INPUT -p icmp --icmp-type 8 -j DROP    \\丢弃echo-request报文

nat表的应用

------------案例：使用同一个公网IP上网-----------

[root@localhost ~]# echo "1" > /proc/sys/net/ipv4/ip_forward    //启用路由转发功能，默认是0

[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE    //设置SNAT策略

MASQUERADE参数的作用：使用该接口的地址作为包的源地址；主要使用在动态获取公网地址的环境

[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.1.4 -o eth0 -j SNAT --to 10.11.11.11    //使用指定地址替换源地址

------------案例：隐藏实际服务器地址-----------

[root@localhost ~]# sysctl -w net.ipv4.ip_forward=1    //启用路由转发功能，默认是0

[root@localhost ~]# iptables -t nat -A PREROUTING -d 114.21.35.66 -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.1.4:8080    //使用指定地址替换目的地址和端口

保存以及备份iptables规则

service iptables save    //保存iptables规则

service iptables stop    //停止iptables时会清除iptables规则，与iptables -F不同的是它还会重置预设策略为ACCEPT

iptables-save[-t table]>filename    //备份iptables规则

iptables-restore[-t table]<filename    //还原iptables规则