iptables服务.doc

安全服务配置 Iptables 整体结构图： 三个表： mangle 针对策略路由和特殊应用 filter 过滤，设置规则 nat 做地址转换 四个链： INPUT 位于 filter 表中 FORWARD 位于 filter 表中 PREROUTING 位于nat 表中，做SNAT POSTROUTING 位于nat表中，做DNAT 语法： iptables [-t 要操作的表] 操作命令 [要操作的链] [规则号码] [匹配条件] [-j 匹配后的动作] 操作命令：[-A -I -D -R -P -F -X] -A 追加一条规则到最后一行 例—— iptables –t fiter –A INPUT –j DROP -I 插入一条规则 例—— iptables –I INPUT 3 –j DROP插入到第三条 默认操作 filter表 -D 删除 例—— iptables –D INPUT 3 此链中的第三条规则被删除 Iptables –D INPUT –s –j DROP 此链中有此内容的删 -R 替换 例—— iptables –R INPUT –j ACCEPT 此链中的第三条规则被改为接受 -P 设置某个链的默认规则 例—— iptables –P INPUT DROP 此链默认规则为 DROP 通常默认为DROP，然后再逐一添加ACCEPT规则 -F 清空规则 例—— iptables –F INPUT 清空此链中的所有规则 但是无法清空此表中的默认规则 若不写出具体的链的名称 则删除此表中的所有规则 -X 清空自定义的规则链 只能清空自定义的规则链，对于iptables自带的规则链不作任何操作 若不指定具体的规则链，将删除该表中所有的自定义规则链 查看命令 {-[n v x] L} -v 显示详细信息 -n 显示ip + 端口号 -x -L 粗略显示 一般使用为 #iptables –nvL 匹配条件 [-i –o –s –d –p ] -i 数据进入接口 例—— -i eth0 -i ppp0 -o 数据输出接口 例—— -o eth1 -o ppp0 -s 匹配来源地址 例—— -s -s /16 -d 匹配目的地址 例—— -d -d /16 -d 备注： -s和-d必须配合使用 -p 匹配协议类型 例—— -p tcp -p udp -p icmp --icmp 类型 如：-p icmp --icmp 8 不可ping，但可以通 --sport 源端口号 例—— --sport 1000 --sport 1000:3000 1000到3000之间 --sport :3000 3000端口号以下 --sport 1000: 1000端口号以上 --dport 目的端口号，用法同上 备注： --icmp --sport --dport 必须和 -p 配合使用 例—— … -s /16 –d –p tcp --dport 80 –j DROP 动作 –j -j ACCEPT 允许 -j DROP 拒绝 -j SNAT --to 源地址转换 必须在POSTROUTING链上设置 例—— iptables –t nat –A POSTROUTING –s /16 –j SNAT --to