iptable使用说明.docVIP

查询 3个表的状态： iptables -t nat –L Iptables [-t TABLE] ACTION [PATTERN] [-j TARGET] TABLE：有filter,nat,mangle；若无指定，预设为filter table. ACTION：-L Chain 显示Chain中的所有规则 -A Chain 对Chain新增一条规则 -D Chain 删除Chain中的一条规则 -I Chain 在Chain中插入一条规则 -R Chain 替换Chain中的某一条规则 -P Chain 对Chain设定的预设的Policy -F Chain 清除Chain中的所有规则 -N Chain 自订一个Chain -X 清除所有的自订Chain ??? Chain：??? Iptables 有五条默认的Chains(规则链)，如下表： ??? PREROUTING 数据包进入本机后，进入Route Table前 ??? INPUT 数据包通过Route Table后，目地为本机 ??? OUTPUT 由本机发出，进入Route Table前 ??? FORWARD 通过Route Table后，目地不是本机时 ??? POSTROUTING 通过Route Table后，送到网卡前 PATTERN(设定条件部份)：-p Protocol 通讯协议，如tcp,udp,icmp,all等。。。 -s Address 指定的Source Address为Address -d Address 指定的Destination Address为Address -I Interface 指定数据包进入的网卡 -o Interface 指定数据包输出的网卡 -m Match 指定高级选项，如mac,state,multiport等。。 TARGET(常用的动作)： ACCEPT 让这个数据包通过 DROP 丢弃数据包 RETURN 不作对比直接返回 QUEUE 传给User-Space的应用软件处理这个数据包 SNAT nat专用：转译来源地址 DNAT nat专用：转译目地地址 MASQUERADE nat专用：转译来源地址成为NIC的MAC REDIRECT nat专用：转送到本机的某个PORT 用/etc/rc.d/init.d/iptables save可在/etc/sysconfig/中产生一iptables文件，大家可以看到，它有三个*号开始的行，其每一个以*号开始的行对应一个table，以COMMIT表示此table 的结束。可将要定的规则加入到对应的table中，如下： *filter :INPUT ACCEPT [61444:8070296] :FORWARD ACCEPT [34:1984] :OUTPUT ACCEPT [1079:79301] COMMIT iptables 指令语法：iptables [-t table] command [match] [-j target/jump]-t 参数用来指定规则表，内建的规则表有三个，分别是：nat、mangle 和 filter，当未指定规则表时，则一律视为是 filter。各规则表的功能如下：nat 此规则表拥有 Prerouting 和 postrouting 两个规则链，主要功能为进行一对一、一对多、多对多等网址转译工作（SNAT DNAT），由于转译工作的特性，需进行目的地网址转译的封包，就不需要进行来源网址转译，反之亦然，因此为了提升改写封包的率，在防火墙运作时，每个封包只会经过这个规则表一次。如果我们把封包过滤的规则定义在这个数据表里，将会造成无法对同一包进行多次比对，因此这个规则表除了作网址转译外，请不要做其它用途。mangle 此规则表拥有 Prerouting、FORWARD 和 postrouting 三个规则链。除了进行网址转译工作会改写封包外，在某些特殊应用可能也必须去改写封包（TTL、TOS）或者是设定 MARK（将封包作记号，以进行后续的过滤），这时就必须将这些工作定义在 mangle 规则表中，由于使用率不高，我们不打算在这里讨论 mangle 的用法。filter 这个规则表是预设规则表，拥有 INPUT、FORWARD 和 OUTPUT 三个规则链，这个规则表顾名思义是用来进行封包过滤的理动作（例如：DROP、 LOG、 ACCEPT 或 REJECT），我们会将基本规则都建立在此规则表中。常用命令列表：命令 -A, --append范例 iptables -A INPUT ...说明 新增规则到某个规则链中，该规