NAT与Iptables.ppt

NAT与Iptables 内容提要 Iptables NAT 利用Iptables指令架设NAT Linux Kernel中的包过滤防火墙 Ipfw/ipfwadm 2.0.*中使用移植于BSD的ipfw 缺点：包过滤、NAT等代码混杂在整个网络相关代码中 Ipchains 2.2.*中使用 Netfilter/iptables 2.4.* iptables 可以从 下载 模块化，支持状态跟踪 Netfilter/iptables 可以实现完整的基于连接跟踪的包过滤防火墙 Netfilter is the framework in Linux 2.4 kernelsthat allow for firewalling, NAT. （Netfilter是Linux kernel 中对数据包进行处理的框架） Iptables is the userspace tools that works with the Netfilter framework iptables结构示意图 表和链 表 filter：实现数据报过滤 nat：网络地址转换 (NAT：Network Address Translator) Mangle: 数据报处理 链 INPUT： 位于 filter 表，匹配目的 IP 是本机的数据包 FORWARD： 位于 filter 表，匹配穿过本机的数据包 PREROUTING： 位于 nat 表，用于修改目的地址（DNAT） POSTROUTING：位于 nat 表，用于修改源地址 （SNAT） Iptables 语法 iptables [-t 要操作的表] 操作命令 [要操作的链] [规则号码] [匹配条件] [-j 匹配到以后的动作] 命令概述 操作命令（-A、-I、-D、-R、-P、-F） 查看命令（-[vnx]L） -A -A 链名 APPEND，追加一条规则（放到最后） 例如： iptables -t filter -A INPUT -j DROP 在 filter 表的 INPUT 链里追加一条规则（作为最后一条规则） 匹配所有访问本机 IP 的数据包，匹配到的丢弃 -I -I 链名 [规则号码] INSERT，插入一条规则 例如： iptables -I INPUT -j DROP 在 filter 表的 INPUT 链里插入一条规则（插入成第 1 条） iptables -I INPUT 3 -j DROP 在 filter 表的 INPUT 链里插入一条规则（插入成第 3 条） 注意： 1、-t filter 可不写，不写则自动默认是 filter 表 2、-I 链名 [规则号码]，如果不写规则号码，则默认是 1 3、确保规则号码 ≤ （已有规则数 + 1），否则报错 -D -D 链名 规则号码 | 具体规则内容 DELETE，删除一条规则 例如： iptables -D INPUT 3（按号码匹配） 删除 filter 表 INPUT 链中的第三条规则（不管它的内容是什么） iptables -D INPUT -s -j DROP（按内容匹配） 删除 filter 表 INPUT 链中内容为“-s -j DROP”的规则 （不管其位置在哪里） 注意： 1、若规则列表中有多条相同的规则时，按内容匹配只删除序号最小的一条 2、按号码匹配删除时，确保规则号码 ≤ 已有规则数，否则报错 3、按内容匹配删除时，确保规则存在，否则报错 -R -R 链名 规则号码 具体规则内容 REPLACE，替换一条规则 例如： iptables -R INPUT 3 -j ACCEPT 将原来编号为 3 的规则内容替换为“-j ACCEPT” 注意： 确保规则号码 ≤ 已有规则数，否则报错 -P -P 链名 动作 POLICY，设置某个链的默认规则 例如： iptables -P INPUT DROP 设置 filter 表 INPUT 链的默认规则是 DROP 注意： 当数据包没有被规则列表里的任何规则匹配到时，按此默认规则处理。动作前面不能加 –j，这也是唯一一种匹配动作前面不加 –j 的情况。 -F -F [链名] FLUSH，清空规