iptables命令详解（网络）.docxVIP

、 第 PAGE 3页，共 NUMPAGES 3页 iptables命令详解 iptables介绍： iptables可以理解为防火墙，而防火墙我们可以理解成现实生活中的安检，有所不同的是现实生活中的安检针对的是进出特点关口的人和物，防火墙针对的则是进出特定端口的报文。不管是安检还是防火墙都是有一定规定/规则的，不符合规定/规则的人、物/报文就会被扣押/截断。 iptables的前身叫ipfirewall （内核1.x时代）,这是一个作者从freeBSD上移植过来的，能够工作在内核当中的，对数据包进行检测的一款简易访问控制工具。但是ipfirewall工作功能极其有限(它需要将所有的规则都放进内核当中，这样规则才能够运行起来，而放进内核，这个做法一般是极其困难的)。当内核发展到2.x系列的时候，软件更名为ipchains，它可以定义多条规则，将他们串起来，共同发挥作用，而现在，它叫做iptables，可以将规则组成一个列表，实现绝对详细的访问控制功能。 总的来说，iptables分为两种应用方式：我称其为黑名单、白名单。 黑名单：默认所有报文都可以正常通过，但截断满足特定条件的报文。 白名单：默认截断所有报文，但允许满足特定条件的报文通过。 通常情况下，我们使用黑名单模式，对特定报文进行截断。iptables一共在内核空间中选择了5个位置，也被称为5个规则链。 1.PREROUTING (路由前) 2.INPUT (数据包流入口) 3.FORWARD (转发管卡) 4.OUTPUT(数据包出口) 5.POSTROUTING（路由后） 所有报文在经过一个设备时必然经过这5个规则链的其中一个，所以我们要截断或者放行特定报文，只要在这几个位置设卡就可以了。 iptables定义规则： iptables定义规则通用格式: 格式：iptables [-t table] COMMAND chain CRETIRIA -j ACTION -t table ：3个filter nat mangle COMMAND：定义如何对规则进行管理 chain：指定你接下来的规则到底是在哪个链上操作的，当定义策略的时候，是可以省略的 CRETIRIA:指定匹配标准 -j ACTION :指定如何进行处理 举例，解析 下面详细举例说明使用iptables丢弃指定报文： 命令举例： iptables -A INPUT -s 207.101.68.111 -m string --algo bm --string RecordInfo -j DROP 该命令的作用是丢失所有从207.101.68.111这个IP地址发送过来的携带RecordInfo字段的报文。 命令说明： 1、-A是--append的缩写，意思是增加一个规则到规则链的末尾，与之对应的-D是--delete的缩写可以删除相应的规则。 2、INPUT，上面说过了，是规则链中的一种，定义本条规则在哪个位置设卡。 3、-s 207.101.68.111是--source的缩写，可选，表示过滤源地址IP为207.101.68.111的相关报文。（发送端和接收端有一个符合即过滤）。 4、-m是--match的缩写，用于引用扩展模块，比如stat、string、time等扩展功能。 5、--algo bm --string RecordInfo ，--string是–m引用的扩展模块与检索算法配合使用，--algo用于指定算法，常用算法有两个bm和kmp，双引号中表示过滤关键字。 6、-j是--jump的缩写，用于指定本条规则的最终目的，是丢弃DROP、接受ACCEPT还是拒绝REJECT。 可以这样用，以实况流程为例： 过滤掉发给XP的ACK报文，假定XP对应IP为207.101.68.111。 那么规则应写为：iptables -A INPUT -s 207.101.68.111 -m string --algo bm --string ACK -j DROP，规则建立后，所有从207.101.68.111这个IP地址发过来的携带ACK字段的报文都会在进入主机前被丢弃。 常用命令举例： [root@localhost /]# iptables -t filter -A INPUT -s 207.121.127.53 -j DROP [root@localhost /]# iptables -t filter -A OUTPUT -d 207.121.127.53 -j DROP 可用iptables --list 命令查看现有的iptables的规则 两条命令的执行结果，查看iptables –list [root@localhost /]# iptables --li