iptables原理与命令大全.doc

Iptables原理与命令： （引用别人的然后自己加于完善！ By linjiang2718） 读完此文后，IPTABLES不会再变得神秘！ 线路上运行网口（如：eth0）raw表 PREROUTING链（作用是赶在跟踪之前处理数据包）mangle PREROUTING 链(在此可以修改数据包比如TOS)nat PREROUTING （这个链主要用来做DNAT。不要在这个链做过虑操作，因为某些情况下包会溜过去。）路由判断 ####如果路由判断为本地：路由判断mangle INPUT(在路由之后，被送往本地程序之前，mangle数据包。) filter INPUT （所有以本地为目的的包都要经过这个链，不管它们从哪儿来，对这些包的过滤条件就设在这里。 ） 本地. 数据包从本地出去的过程： 本地raw表 OUTPUT（这里是在连接跟踪处理本地的数据包之前。 ）mangle OUTPUT (在这儿可以mangle包。建议不要在这儿做过滤，可能有副作用。)nat OUTPUT (这个链对从防火墙本身发出的包进行DNAT操作。) filter OUTPUT (对本地发出的包过滤。) mangle POSTROUTING （这条链主要在包DNAT之后，离开本地之前，对包 mangle。有两种包会经过这里，防火墙所在机子本身产生的包，还有被转发的包。）nat POSTROUTING (在这里做SNAT。但不要在这里做过滤，因为有副作用，而且有些包是会溜过去的，即使你用了DROP策略。)离开 网口（如：eth0）到线路上运行 ####如果路由判断为转发 路由判断mangle FORWARD (包继续被发送至mangle表的FORWARD链，这是非常特殊的情况才会用到的。)filter FORWARD (包继续被发送至这条FORWARD链。只有需要转发的包才会走到这里，并且针对这些包的所有过滤也在这里进行。注意，所有要转发的包都要经过这里，不管是外网到内网的还是内网到外网的。在你自己书写规则时，要考虑到这一点。 )mangle POSTROUTING(这个链也是针对一些特殊类型的包)nat POSTROUTING (这个链就是用来做SNAT的，当然也包括Masquerade（伪装）。但不要在这儿做过滤，因为某些包即使不满足条件也会通过。)离开接口又在线路上传输了 Iptables命令大全 iptables -A INPUT ... 添加规则 iptables -D INPUT --dport 80 -j DROP或iptables -D INPUT 1 删除谋条规则 iptables -R INPUT 1 -s -j DROP 替换规则 iptables -I INPUT 1 --dport 80 -j ACCEPT 插入规则 iptables -L INPUT 查看指定规则 iptables -F INPUT 情况所选的链 iptables -Z INPUT 把指定链（如未指定，则认为是所有链）的所有计数器归零。 iptables -N allowed 新建一个名字是allowed的链 iptables -X allowed 删除名字是allowed的链 iptables -P INPUT DROP 为链设置默认的策略 iptables -E allowed disallowed 对自定义的链进行重命名 把allowed改为disallowed iptables -v [--list, --append, --insert, --delete, --replace] 这个选项使输出详细化，常与--list 连用。与--list连用时，输出中包括网络接口的地址、规则的选项、TOS掩码、字节和包计数器，其中计数器是以K、M、G（这里用的是10的幂而不是2的幂哦）为单位的。如果想知道到底有多少个包、多少字节，还要用到选项-x，下面会介绍。如果-v 和--append、--insert、--delete 或--replace连用，iptables会输出详细的信息告诉你规则是如何被解释的、是否正确地插入等等。 iptables -x --list 显示准确的数值，而不用K、M、G等估值 iptables -n --list 使输出中的IP地址和端口以数值的形式显示，而不是默认的名字，比如主机名、网络名、程序名等。注意此选项也只能和--list连用。 iptables --line-numbers --list 又是一个只能和--list连用的选项，作用是显示出每条规则在相应链中的序号。这样你可以知道序号了，这对插入新规则很有用哦。 iptables -c [--insert, --append, --replace] 在创建或更改规