四表五链
链:PREROUTING,INPUT,FORWARD,OUTROUTING,POSTROUTING
PREROUTIN:在路由之前
INPUT:进入主机
FORWARD:转发
OUTPUT:出主机
POSTROUTING:路由之后
表:filter,nat,mangle,raw
filter:过滤
INPUT
OUTPUT
FORWARD
nat:地址转换
PREROUTIN
OUTPUT
POSTROUTING
mangle:拆分、修改、封装数据包(如修改ttl值后再封装转发)
PREROUTIN
INPUT
FORWARD
OUTPUT
POSTROUTING
raw:保持原格式数据包
PREROUTIN
OUTPUT
优先级:raw-->mangle-->nat-->filter(由高到底)
规则:匹配标准、处理动作
匹配标准:
通用匹配:
-s/--src:源地址或网络
-d/--dst:目标地址或网络
-p:指定协议(四层协议tcp|udp|icmp)
-i:指定数据报文流入的接口
可用于定义标准的链:PREROUTIN,INPUT,FORWARD
-o:指定数据报文流出的接口
可用于定义标准的链:OUTPUT,FORWARD,POSTROUTING
扩展匹配:
隐含扩展:不用特别指明哪个模块进行的扩展,因为此时使用-p{tcp|udp|icmp}
-p tcp
--sport:源端口
--dport:目标端口
-p icmp
--icmp-type
0:echo-reply(响应)
8:echo-request(请求)
-p udp
--sport
--dport
显示扩展:必须指明由哪个模块进行的扩展,在iptables中使用-m选项可完成此功能
-m state(加载state模块)
state:状态扩展
结合ip_conntrack追踪会话状态
NEW:新连接请求
ESTABLISHED:已建立的连接
INVLID:非法连接
FELATED:相关联的
-m state --state NEW,ESTABLISHED -j ACCEPT(允许新连接和已建立的连接通过)
multiport:离散的多端口匹配
--source-ports:源端口
--destination-ports:目标端口
--ports:端口
iprange:多网络扩展
--scr-range
--dst-range
iptables -A INPUT -p tcp -m iprange --src-range 192.168.1.1-192.168.1.100 --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
允许192.168.1.1-192.168.1.100访问在NEW,ESTABLISHED状态的80端口
connlimit:连接数限制
--connlimit-above:上限
ACCEPT常用取反
! --connlimit-above 5(允许低于5个)
limit:速率限定
--limit:
--limit 5/minate
--limit-burst:同时发起的访问量
--limit-burst 5
string:字符串限定
--algo {bm|kmp}:匹配算法(两个中选一个)
--strimg:要匹配的字符串
-j:处理动作
ACCEPT:允许
DROP:丢弃
REJECT:拒绝
LOG:日志
命令:
管理规则
-A:附加一条规则,在链的尾部
-I CHAIN [num]:添加规则在CHAIN链的第num条,没有指明位置的,添加在第一条
-D CHAIN [num]:删除CHAIN链的第num条规则
-R CHAIN [num]:替换CHAIN链的第num条规则
管理链
-F [CHAIN]:清空指定链中的规则,如果没指定CHAIN链,则删除对应表中的所有链
-P:指定链的默认策略
-N:自定义一个新的空链
-X:删除一个自定义的空链
-Z:置零指定链中所有规则的计数器
-E:重命名自定义的链
查看
-L:显示指定表中的规则
-n:以数字格式显示主机地址和端口号
-v:显示详细信息
-x:显示精确值
--line-numbers:显示规则号码
保存配置
service iptables save(保存到默认位置)
/etc/sysconfig/iptables
保存到默认位置的不用导入配置
iptables-save > /etc/sysconfig/iptables.20160201
保存到自定义目录/etc/sysconfig/iptables.20160201
iptables-restore < /etc/sysconfig/iptables.20160201
将保存到自定义目录/etc/sysconfig/iptables.20160201的配置导入
条件取反:用!(感叹号)
! 192.168.1.1(除了192.168.1.1)