IPTABLES详解

linux 内核通过netfilter 模块实现网络访问控制功能
在用户层可以通过iptables对netfilter进行控制管理
filter 过滤
nat 修改IP地址
mangle 修改高级参数 QOS
iptables -t filter -A INPUT -s 192.168.1.1 -j DROP
               表          链            匹配属性          动作
表：规定使用的表(filter、nat、mangle,不同表有不同功能）
链：规定过滤点（INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING）
匹配属性：规定匹配数据的特征(TCP、UDP、ICMP)端口号、接口、TCP状态
匹配后的动作：放行、丢弃、记录（ACCEPT、DROP、REJECT）

 

 

 

service iptables status 查看状态

iptables -L 列出现有的规则
插入规则
iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT

-I 表示插入 3表示第三个规则  -p指定协议 --dport指定目标端口
所有使用TCP协议，目标端口是22的全部允许通过
a
删除规则
iptables -D INPUT 3
iptables -D INPUT -s 192.168.1.2 -J DROP
iptables -F 删除所有规则

基于IP地址
-s 192.168.1.1
-d 10.0.0.0/8

基于接口
-i eth0
-o eth1

排除参数:
-s '1'192.168.1.0/24

基于协议及端口
-p tcp --dport 23
-p udp --dport 53
-p icmp

控制到本机的网络流量
iptables -A INPUT -s 192.168.1.100 -j DROP
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -s 192.168.1.1/24 -p tcp --dport 22 -j DROP
iptables -A INPUT -i eth0 -j ACCEPT

作为路由使用时FORWARD
禁止所有192.168.1.0/24 到10.1.1.0/24的流量
iptables -A FORWARD -s 192.168.1.0/24 -d 10.1.1.0/24 -j DROP

NET 对IP地址进行修改
SNAT 源地址转换，用于伪装内部地址
DNAT 目标地址转换，通常用于跳转

常用NAT进行跳转
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-dest 192.168.1.10
DNAT只能用于PREROUTING

NAT对出向数据时行跳转
iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-dest 192.168.1.100:8080

NAT对数据流进行伪装(一般意义上的NAT，把内部地址全部伪装为一个外部公网IP地址）
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE（伪装）
把所有出去的数据包伪装成eth0的IP地址

通过NAT隐藏源IP地址IP
iptables -t nat -A POSTROUTING -j SNAT --to-source 1.2.3.4

通过命令行添加的规划不能永久保存
通过命令将规划写入配置文件 /etc/sysconfig/iptables
service iptables save

当需要删除某条fireware规则时

查看当前nat表的防火墙规则：iptables -t nat -L -n --line-numbers搜索，
然后确定你要删除的是哪一条规则，并且看一下它是第几条规则，规则最前面有序号。
接下来删除，使用命令：iptables -t nat -D PREROUTING 1，这里假如它的序号是1。

应用实例:

iptables -A INPUT -s 192.168.100.6 -j ACCEPT
iptables -A INPUT -s 192.168.5.0/27 -j ACCEPT
iptables -A INPUT -j DROP
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-dest 192.168.100.11