2 小时玩转 iptables.ppt

ChinaUnix 讲座 2 小时玩转 iptables 企业版 cu.platinum@ 2006.03.18 最后修改时间：2006.07.23 文档维护者：白金(platinum)、陈绪(bjchenxu) 主题大纲 1. 概述 2. 框架图 3. 语法 4. 实例分析 5. 网管策略 6. 使用总则、FAQ 7. 实战 1. 概述 2.4.x、2.6.x 内核 netfilter/iptables 2.1 框架图 --PREROUTING--[ROUTE]--FORWARD--POSTROUTING-- mangle | mangle ^ mangle nat | filter | nat | | | | v | INPUT OUTPUT | mangle ^ mangle | filter | nat v ------local-------| filter 2.2 链和表 表 filter： 顾名思义，用于过滤的时候 nat： 顾名思义，用于做 NAT 的时候 NAT：Network Address Translator 链 INPUT： 位于 filter 表，匹配目的 IP 是本机的数据包 FORWARD： 位于 filter 表，匹配穿过本机的数据包， PREROUTING： 位于 nat 表，用于修改目的地址（DNAT） POSTROUTING：位于 nat 表，用于修改源地址 （SNAT） 3.1 iptables 语法概述 iptables [-t 要操作的表] 操作命令 [要操作的链] [规则号码] [匹配条件] [-j 匹配到以后的动作] 3.2 命令概述 操作命令（-A、-I、-D、-R、-P、-F） 查看命令（-[vnx]L） 3.2.1 -A -A 链名 APPEND，追加一条规则（放到最后） 例如： iptables -t filter -A INPUT -j DROP 在 filter 表的 INPUT 链里追加一条规则（作为最后一条规则） 匹配所有访问本机 IP 的数据包，匹配到的丢弃 3.2.2 -I -I 链名 [规则号码] INSERT，插入一条规则 例如： iptables -I INPUT -j DROP 在 filter 表的 INPUT 链里插入一条规则（插入成第 1 条） iptables -I INPUT 3 -j DROP 在 filter 表的 INPUT 链里插入一条规则（插入成第 3 条） 注意： 1、-t filter 可不写，不写则自动默认是 filter 表 2、-I 链名 [规则号码]，如果不写规则号码，则默认是 1 3、确保规则号码 ≤ （已有规则数 + 1），否则报错 3.2.3 -D -D 链名 规则号码 | 具体规则内容 DELETE，删除一条规则 例如： iptables -D INPUT 3（按号码匹配） 删除 filter 表 INPUT 链中的第三条规则（不管它的内容是什么） iptables -D INPUT -s -j DROP（按内容匹配） 删除 filter 表 INPUT 链中内容为“-s -j DROP”的规则 （不管其位置在哪里） 注意： 1、若规则列表中有多条相同的规则时，按内容匹配只删除序号最小的一条 2、按号码匹配删除时，确保规则号码 ≤ 已有规则数，否则报错 3、按内容匹配删除时，确保规则存在，否则报错 3.2.3 -R -R 链名 规则号码 具体规则内容 REPLACE，替换一条规则 例如： ipta