Linux-iptables配置.docVIP

一iptables的基本理论1.规则（rules） 规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的主要工作就是添加、修改和删除这些规则。 2.链（chains） 链（chains）是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则，如果该数据包不符合链中任一条规则，iptables就会根据该链预先定义的默认策略来处理数据包。 3.表（tables）表（tables）提供特定的功能，iptables内置了3个表，即filter表、nat表和mangle表，分别用于实现包过滤，网络地址转换和包重构的功能。 （1）．filter表 主要用于过滤数据包，该表根据系统管理员预定义的一组规则过滤符合条件的数据包。对于防火墙而言，主要利用在filter表中指定的规则来实现对数据包的过滤Filter表是默认的表，如果没有指定哪个表，iptables就默认使用filter表来执行所有命令，filter表包含了INPUT链（处理进入的数据包），RORWARD链（处理转发的数据包），OUTPUT链（处理本地生成的数据包）在filter表中只能允许对数据包进行接受，丢弃的操作，而无法对数据包进行更改（2）．nat表? ???主要用于网络地址转换NAT，该表可以实现一对一，一对多，多对多等NAT 工作，iptables就是使用该表实现共享上网的，NAT表包含了PREROUTING链（修改即将到来的数据包），POSTROUTING链（修改即将出去的数据包），OUTPUT链（修改路由之前本地生成的数据包）（3）．mangle表? ?? 主要用于对指定数据包进行更改，在内核版本2.4.18 后的linux版本中该表包含的链为：INPUT链（处理进入的数据包），RORWARD链（处理转发的数据包），OUTPUT链（处理本地生成的数据包）POSTROUTING链（修改即将出去的数据包），PREROUTING链（修改即将到来的数据包） 二．iptables的使用 iptables的命令格式较为复杂，一般的格式如下：iptables [-t表] -命令 匹配 操作（1）表选项表选项用于指定命令应用于哪个iptables内置表。（2）命令选项? ?? ? 命令选项用于指定iptables的执行方式，包括插入规则，删除规则和添加规则，如下表所示? ?命令 说明-P或--policy??链名 定义默认策略-L或--list??链名 查看iptables规则列表-A或—append??链名 在规则列表的最后增加1条规则-I或--insert??链名 在指定的位置插入1条规则-D或--delete??链名 从规则列表中删除1条规则-R或--replace??链名 替换规则列表中的某条规则-F或--flush??链名 删除表中所有规则-Z或--zero??链名 将表中数据包计数器和流量计数器归零(3) 匹配选项? ?? ?匹配选项指定数据包与规则匹配所具有的特征，包括源地址，目的地址，传输协议和端口号，如下表所示匹配 说明-i或--in-interface??网络接口名 指定数据包从哪个网络接口进入， -o或--out-interface??网络接口名 指定数据包从哪个网络接口输出 -p或---proto协议类型 指定数据包匹配的协议，如TCP、UDP和ICMP等-s或--source??源地址或子网 指定数据包匹配的源地址--sport 源端口号/SPAN%3 iptables执行规则时，是从规则表中从上至下顺序执行的，如果没遇到匹配的规则，就一条一条往下执行，如果