我為大家整理出來(lái)iptables的所以知識(shí)，不用大家翻其他資料了！

　　iptables簡(jiǎn)介

　　iptables是基于內(nèi)核的防火墻，功能非常強(qiáng)大，iptables內(nèi)置了filter，nat和mangle三張表。

　　filter負(fù)責(zé)過(guò)濾數(shù)據(jù)包，包括的規(guī)則鏈有，input，output和forward;

　　nat則涉及到網(wǎng)絡(luò)地址轉(zhuǎn)換，包括的規(guī)則鏈有，prerouting，postrouting和output;

　　mangle表則主要應(yīng)用在修改數(shù)據(jù)包內(nèi)容上，用來(lái)做流量整形的，默認(rèn)的規(guī)則鏈有：INPUT，OUTPUT，NAT，POSTROUTING，PREROUTING;

　　input匹配目的IP是本機(jī)的數(shù)據(jù)包，forward匹配流經(jīng)本機(jī)的數(shù)據(jù)包，prerouting用來(lái)修改目的地址用來(lái)做DNAT，postrouting用來(lái)修改源地址用來(lái)做SNAT。

　　iptables主要參數(shù)

　　-A 向規(guī)則鏈中添加一條規(guī)則，默認(rèn)被添加到末尾

　　-T指定要操作的表，默認(rèn)是filter

　　-D從規(guī)則鏈中刪除規(guī)則，可以指定序號(hào)或者匹配的規(guī)則來(lái)刪除

　　-R進(jìn)行規(guī)則替換

　　-I插入一條規(guī)則，默認(rèn)被插入到首部

　　-F清空所選的鏈，重啟后恢復(fù)

　　-N新建用戶自定義的規(guī)則鏈

　　-X刪除用戶自定義的規(guī)則鏈

　　-p用來(lái)指定協(xié)議可以是tcp，udp，icmp等也可以是數(shù)字的協(xié)議號(hào)，

　　-s指定源地址

　　-d指定目的地址

　　-i進(jìn)入接口

　　-o流出接口

　　-j采取的動(dòng)作，accept，drop，snat，dnat，masquerade

　　--sport源端口

　　--dport目的端口，端口必須和協(xié)議一起來(lái)配合使用

　　注意：所有鏈名必須大寫(xiě)，表明必須小寫(xiě)，動(dòng)作必須大寫(xiě)，匹配必須小寫(xiě)

#p#

　　iptable配置實(shí)例

　　iptable基本操作

　　iptables -L 列出iptables規(guī)則

　　iptables -F 清除iptables內(nèi)置規(guī)則

　　iptables -X 清除iptables自定義規(guī)則

　　設(shè)定默認(rèn)規(guī)則

　　在iptables規(guī)則中沒(méi)有匹配到規(guī)則則使用默認(rèn)規(guī)則進(jìn)行處理

　　iptables -P INPUT DROP

　　iptables -P OUTPUT ACCEPT

　　iptables -P FORWARD DROP

　　配置SSH規(guī)則

　　iptables -A INPUT -p tcp --dport 22 -j ACCEPT

　　iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT 如果你把OUTPUT 設(shè)置成DROP，就需要加上這個(gè)規(guī)則,否則SSH還是不能登錄，因?yàn)镾SH服務(wù)職能進(jìn)不能出。

　　只允許192.168.0.3的機(jī)器進(jìn)行SSH連接

　　iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT

　　如果要允許,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.

　　允許loopback回環(huán)通信

　　IPTABLES -A INPUT -i lo -p all -j ACCEPT

　　IPTABLES -A OUTPUT -o lo -p all -j ACCEPT

　　目的地址轉(zhuǎn)換，映射內(nèi)部地址

　　iptables -t nat -A PREROUTING -i ppp0 -p tcp --dprot 81 -j DNAT --to 192.168.0.2:80

　　iptables -t nat -A PREROUTING -i ppp0 -p tcp --dprot 81 -j DNAT --to 192.168.0.1-192.168.0.10

　　源地址轉(zhuǎn)換，隱藏內(nèi)部地址

　　iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1

　　iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1-1.1.1.10

　　地址偽裝，動(dòng)態(tài)ip的NAT

　　iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

　　masquerade和snat的主要區(qū)別在于，snat是把源地址轉(zhuǎn)換為固定的IP地址或者是地址池，而masquerade在adsl等方式撥號(hào)上網(wǎng)時(shí)候非常有用，因?yàn)槭菗芴?hào)上網(wǎng)所以網(wǎng)卡的外網(wǎng)IP經(jīng)常變化，這樣在進(jìn)行地址轉(zhuǎn)換的時(shí)候就要在每次都要修改轉(zhuǎn)換策略里面的ip，使用masquerade就很好的解決了這個(gè)問(wèn)題，他會(huì)自己去探測(cè)外網(wǎng)卡獲得的ip地址然后自動(dòng)進(jìn)行地址轉(zhuǎn)換，這樣就算外網(wǎng)獲得的ip經(jīng)常變化也不用人工干預(yù)了。

　　開(kāi)啟轉(zhuǎn)發(fā)功能

　　iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT 只允許已建連接及相關(guān)鏈接對(duì)內(nèi)轉(zhuǎn)發(fā)

　　ptables -A FORWARD -i eth1 -o eh0 -j ACCEPT 允許對(duì)外轉(zhuǎn)發(fā)

　　過(guò)濾某個(gè)MAC

　　iptables -A FORWARD -m mac --mac -source MAC地址 -j DROP

　　報(bào)文經(jīng)過(guò)路由后，數(shù)據(jù)包中原有的MAC信息會(huì)被替換，所以在路由后的iptables中使用mac匹配沒(méi)有意義。

　　數(shù)據(jù)包整流

　　iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s -j ACCEPT

　　iptables -A FORWARD -d 192.168.0.1 -j DROP

　　多端口匹配

　　用以一次匹配多個(gè)端口

　　iptables -A INPUT -p tcp -m muliport --dport s 21,22,25,80,110 -j ACCEPT

　　丟棄非法連接

　　iptables -A INPUT -m state --state INVALID -j DROP

　　iptables -A OUTPUT -m state --state INVALID -j DROP

　　iptables-A FORWARD -m state --state INVALID -j DROP

　　存儲(chǔ)于恢復(fù)iptables規(guī)則

　　iptables-save > somefile

　　iptables-restore < somefile

通過(guò)上文的介紹，我們都清楚的知道的了iptables一些知識(shí)。希望本文對(duì)大家有幫助！

【編輯推薦】

1. iptables 端口轉(zhuǎn)發(fā)
2. iptables nat 技術(shù)筆記
3. iptables+NAT+端口映射
4. 如何查看iptables關(guān)于nat的日志
5. RedHat 9上用iptables做NAT網(wǎng)和記錄日志
6. iptables下開(kāi)放ftp連接
7. Linux iptables將nat中內(nèi)網(wǎng)多臺(tái)ftp服務(wù)器映射出去
8. Linux Iptables 內(nèi)核添加time模塊