Debian iptables

原文网址
http://www.vmvps.com/save-iptables-setting-under-debian-environment.html
http://blog.csdn.net/wzy_1988/article/details/8479995

iptables有Filter、NAT、Mangle、Raw四种内建表。
1. Filter表　iptables默认表，如果没有自定义表，默认使用filter表，有3个内建链
　INPUT -- 处理来自外部的数据
　OUTPUT -- 处理向外发送的数据
　FORWARD -- 将数据转发到本机的其他网卡设备
2. NAT表　有3个内建链
　PREROUTING -- 处理刚到达本机并在路由转发前的数据包。它会转换数据包中的目标IP地址(destination ip address)，通常用于DNAT(destination NAT)
　POSTROUTING -- 处理即将离开本机的数据包。它会转换数据包中的源IP地址(source ip address)，通常用于SNAT(source NAT)
　OUTPUT -- 处理本机产生的数据包
3. Mangle表　用于指定如何处理数据包。它能改变TCP头中的QoS位。有5个内建链
　PREROUTING
　OUTPUT
　FORWARD
　INPUT
　POSTROUTING
4. Raw表　用于处理异常，有2个内建链
　PREROUTING
　OUTPUT

开启IP转发
vi /etc/rc.local
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to 172.20.158.70

保存iptables防火墙规则
# iptables-save > /etc/network/iptables.rules
# vi /etc/network/if-pre-up.d/up-iptables
　#!/bin/bash
　iptables-restore < /etc/network/iptables.rules
#chmod +x /etc/network/if-pre-up.d/up-iptables

Debian在网络建立前后和网络断开前后都会运行/etc/network/中相应目录下的脚本。
if-down.d -- 网络关闭前
if-post-down.d -- 网络关闭后
if-pre-up.d -- 网络建立前
if-up.d -- 网络建立后

# iptables -t filter –list
# iptables -p INPUT DROP
# iptables -p OUTPUT ACCEPT
# iptables -p FORWARD DROP
# iptables -A INPUT -p icmp --icmp-type 8 -d 192.168.1.16 -j REJECT --reject-with icmp-port-unreachable