iptables用法初解.docxVIP

iptables用法初解一、四表五链之间的关系4个表:filter,nat,mangle,raw，默认表是filter（没有指定表的时候就是filter表）。表的处理优先级：rawmanglenatfilter。filter:一般的过滤功能nat:用于nat功能（端口映射，地址映射，中转IP等）mangle:用于对特定数据包的修改raw:有限级最高，设置raw时一般是为了不再让iptables做数据包的链接跟踪处理，提高性能5个链：PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。PREROUTING:数据包进入路由表之前INPUT:通过路由表后目的地为本机FORWARDING:通过路由表后，目的地不为本机OUTPUT:由本机产生，向外转发POSTROUTIONG:发送到网卡接口之前。关系如下两个图：iptables中表和链的对应关系如下：二、修改配置文件修改方式iptables装好后，可以用service iptables start来启动，默认是不写配置文件的，可以修改/etc/sysconfig/iptables-config文件的IPTABLES_SAVE_ON_RESTART参数为YES,那么再次service iptables restart后，会生成/etc/sysconfig/iptables文件，这个是iptables的规则配置文件。然后每次修改这个文件，重启iptables服务就可以生效。使用iptables-save和iptables-restore实时修改另一种方法可以实时的修改iptables，先调用iptables-save 1.txt（任一文件）, 1.txt保存的就是当前iptables所有的规则。然后修改1.txt文件，再调用iptables-restore 1.txt，这样可以实时的修改iptables。下面我们以一个IP中转的例子的说明操作例1：中转机10.193.33.199, 客户机：10.194.40.99,内网（192.168.205.199）服务器：192.168.207.31。前提：客户机与中转机是相通的，中转机和服务器是相通的，但是客户机和服务机不通，如何通过修改中转机的iptables使客户机能直接用ssh登录到服务器？步骤1，打开中转机的IP转发功能，#echo 1 /proc/sys/net/ipv4/ip_forward步骤2，使用iptables-save 1.txt，打开1.txt查看当前的所有配置，如下：[cpp]view plaincopyprint?#?Generated?by?iptables-save?v1.3.5?on?Wed?Jan?23?13:42:41?2013 ??*nat??:PREROUTING?ACCEPT?[987255:120400313]??:POSTROUTING?ACCEPT?[69206:4531327]??:OUTPUT?ACCEPT?[69171:4525042]??COMMIT??#?Completed?on?Wed?Jan?23?13:42:41?2013 ??#?Generated?by?iptables-save?v1.3.5?on?Wed?Jan?23?13:42:41?2013 ??*filter??:INPUT?ACCEPT?[8263685:2471630642]??:FORWARD?ACCEPT?[744189:1336659724]??:OUTPUT?ACCEPT?[6320185:4534993027]??COMMIT??#?Completed?on?Wed?Jan?23?13:42:41?2013??# Generated by iptables-save v1.3.5 on Wed Jan 23 13:42:41 2013*nat:PREROUTING ACCEPT [987255:120400313]:POSTROUTING ACCEPT [69206:4531327]:OUTPUT ACCEPT [69171:4525042]COMMIT# Completed on Wed Jan 23 13:42:41 2013# Generated by iptables-save v1.3.5 on Wed Jan 23 13:42:41 2013*filter:INPUT ACCEPT [8263685:2471630642]:FORWARD ACCEPT [744189:1336659724]:OUTPUT ACCEPT [6320185:4534993027]COMMIT# Completed on Wed Jan 23 13:42:41 2013修改如下