Linux防火墙iptables大全.docVIP

Linux防火墙iptables大全 目录 1、Linux防火墙基础 2 1、iptables的规则表、链结构 2 1.1 规则表 2 1.2 规则链 2 2、数据包的匹配流程 2 2.1 规则表之间的优先级 2 2.2 规则链之间的优先级 2 2.3 规则链内部各防火墙规则之间的优先顺序 2 2、管理和设置iptables规则 3 2.1 iptables的基本语法格式 3 2.2 管理iptables规则 3 iptables命令的管理控制项 3 2.3 条件匹配 5 2.3.1 通用（general）条件匹配 5 2.3.2 隐含（implicit）条件匹配 5 2.3.3 显示（explicit）条件匹配 6 2.4 数据包控制 7 3、使用防火墙脚本 7 3.1 导出、导入防火墙规则 7 3.2 编写防火墙脚本 8 4、防火墙常用配置范例...........................................................................................................................................................8 1、Linux防火墙基础 1、iptables的规则表、链结构 1.1 规则表 iptables管理4个不同的规则表，其功能由独立的内核模块实现。 filter表： 包含三个链 INPUT , OUTPUT , FORWARD nat表： PREROUTING , POSTROTING , OUTPUT mangle表： PREROUTING , POSTROUTING , INPUT , OUTPUT , FORWARD raw表： OUTPUT , PREROUTING 1.2 规则链 INPUT链 当收到访问防火墙本机的数据包（入站）时，应用此链中的规则 OUTPUT链 当防火墙本机向外发送数据包（出站）时，应用此链中的规则 FORWARD链 收到需要通过防火墙发送给其他地址的数据包，应用此链 PREROUTING链 做路由选择之前，应用此链 POSTROUTING链 对数据包做路由选择之后，应用此链中的规则 2、数据包的匹配流程 2.1 规则表之间的优先级 Raw mangle nat filter 2.2 规则链之间的优先级 入站数据流向： 来自外界的数据包到达防火墙，首先呗PREROUTING规则链处理（是否被修改地址），之后会进行路由选择（判断该数据包应该发往何处），如果数据包的目标地址是防火墙本机，那么内核将其传递给INPUT链进行处理，通过以后再交给上次的应用程序进行响应 转发数据流向： 来自外界的数据包到达防火墙后，首先被PREROUTING规则链处理，之后进行路由选择，如果数据包的目标地址是其他外部地址，则内核将其传递给FPRWARD链进行处理，然后再交给POSTROUTIING规则链（是否修改数据包的地址等）进行处理。 出站数据流向： 防火墙本身向外部地址发送数据包，首先被OUTPUT规则链处理，之后进行路由选择，然后交给POSTROUTING规则链（是否修改数据包的地址等）进行处理。 2.3 规则链内部各防火墙规则之间的优先顺序 依次按第1条规则、第2条规则、第3条规则……的顺序进行处理，找到一条能够匹配的数据包规则，则不再继续检查后面的规则（使用LOG记录日志的规则例外）。如果找不到匹配规则，就按照规则链的默认策略进行处理 2、管理和设置iptables规则 2.1 iptables的基本语法格式 iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转] 2.2 管理iptables规则 iptables命令的管理控制项 选项名 功能及特点 -A 在指定链的末尾添加（--append）一条新规则 -D 删除（--delete）指定链中的某一条规则，按规则序号或内容确定要删除的规则 -I 在指定链中插入一条新规则，若未指定插入位置，则默认在链的开头插入 -R 修改、替换指定链中的一条规则，按按规则序号或内容确定要替换的规则 -L 列出指定链中所有的规则进行查看，若未指定链名，则列出表中所有链的内容 -F 清空指定链中的所有规则，若未指定链名，则清空表中所有链的内容 -N 新建一条用户自定义的规则链 -X 删除表中用户自定义的规则链 -P 设置指定链的默认策略（大p） -n 使用数字形式显示输出结果，如显示主机的IP地址而不是主机名 -v 查看规则列表时显示详细的信息 -V 查看iptables命令工具的版本信息 -h 查看命令帮助信息 --line