iptables命令用法解释.pdfVIP

iptables 命令介绍 原文链接 iptables 防火墙可以用于创建过滤(filter)与NAT 规则。所有Linux 发行版都能使用iptables 因此理解如何配置iptables 将会帮助你更有效地管理 Linux 防火墙。如果你是第一次接触 iptables，你会觉得它很复杂，但是一旦你理解iptables 的工作原理，你会发现其实它很简单。 首先介绍iptables 的结构：iptables - Tables - Chains - Rules. 简单地讲 tables 由 chains 组成，而chains 又由rules 组成。如下图所示。 图: IPTables Table, Chain, and Rule Structure 一、iptables 的表与链 iptables 具有Filter, NAT, Mangle, Raw 四种内建表： 1. Filter 表 Filter 表示iptables 的默认表，因此如果你没有自定义表，那么就默认使用filter 表，它具有以下 三种内建链： • INPUT 链 – 处理来自外部的数据。 • OUTPUT 链 – 处理向外发送的数据。 • FORWARD 链 – 将数据转发到本机的其他网卡设备上。 2. NAT 表 NAT 表有三种内建链： • PREROUTING 链 – 处理刚到达本机并在路由转发前的数据包。它会转换数据包中的目 标IP 地址（destination ip a ress ），通常用于DNAT(destination NAT)。 • POSTROUTING 链 – 处理即将离开本机的数据包。它会转换数据包中的源IP 地址 （source ip a ress ），通常用于SNAT （source NAT ）。 • OUTPUT 链 – 处理本机产生的数据包。 3. Mangle 表 Mangle 表用于指定如何处理数据包。它能改变TCP 头中的QoS 位。Mangle 表具有5 个内建链： • PREROUTING • OUTPUT • FORWARD • INPUT • POSTROUTING 4. Raw 表 Raw 表用于处理异常，它具有2 个内建链： • PREROUTING chain • OUTPUT chain 5.小结 下图展示了iptables 的三个内建表： 图: IPTables 内建表 二、IPTABLES 规则(Rules) 牢记以下三点式理解iptables 规则的关键： • Rules 包括一个条件和一个目标(target) • 如果满足条件，就执行目标(target)中的规则或者特定值。 • 如果不满足条件，就判断下一条Rules。 目标值（Target Values ） 下面是你可以在target 里指定的特殊值： • ACCEPT – 允许防火墙接收数据包 • DROP – 防火墙丢弃包 • QUEUE – 防火墙将数据包移交到用户空间 • RETURN – 防火墙停止执行当前链中的后续Rules，并返回到调用链(the calling chain)中。 如果你执行iptables --list 你将看到防火墙上的可用规则。下例说明当前系统没有定义防火墙 你可以看到，它显示了默认的filter 表，以及表内默认的input 链, forwar 链, output 链。 # iptables -t filter --list Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 查看mangle 表： # iptables -t mangle --list 查看NAT 表： # iptables -t nat --list 查看RAW 表： # iptables -t raw --list /!\注