iptables的原理和基本用法

iptables-----能夠將規則組成一個列表，實現絕對詳細的訪問控制功能。

1、iptables基礎

Iptables中的規則表：規則表的前後順序:raw→mangle→nat→filte

規則鏈的前後順序:

入站順序:PREROUTING→INPUT

出站順序:OUTPUT→POSTROUTING

轉發順序:PREROUTING→FORWARD→POSTROUTING

iptables語法
iptables [-t 要操做的表] <操做命令> [要操做的鏈] [規則號碼] [匹配條件] [-j 匹配後的動做]
           小寫           大寫        大寫                   小寫          大寫

表名包括：

• raw：高級功能，如：網址過濾。

• mangle：數據包修改（QOS），用於實現服務質量。

• net：地址轉換，用於網關路由器。

• filter：包過濾，用於防火牆規則。

規則鏈名包括：

• INPUT鏈：處理輸入數據包。

• OUTPUT鏈：處理輸出數據包。

• PORWARD鏈：處理轉發數據包。

• PREROUTING鏈：用於目標地址轉換（DNAT）。

• POSTOUTING鏈：用於源地址轉換（SNAT）。

動做包括：

• accept：接收數據包。

• DROP：丟棄數據包。

• REDIRECT：重定向、映射、透明代理。

• SNAT：源地址轉換。

• DNAT：目標地址轉換。

• MASQUERADE：IP假裝（NAT），用於ADSL。

• LOG：日誌記錄。

例:

查看已添加的iptables規則

iptables -nL  -v

清除已有iptables規則

iptables -F
iptables -X
iptables -Z

開放指定的端口

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT          #容許本地迴環接口(即運行本機訪問本機)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  #容許已創建的或相關連的通行
iptables -A OUTPUT -j ACCEPT         #容許全部本機向外的訪問
iptables -A INPUT -p tcp --dport 22 -j ACCEPT    #容許訪問22端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT    #容許訪問80端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT    #容許ftp服務的21端口
iptables -A INPUT -p tcp --dport 20 -j ACCEPT    #容許FTP服務的20端口
iptables -A INPUT -j reject         #禁止其餘未容許的規則訪問
iptables -A FORWARD -j REJECT     #禁止其餘未容許的規則訪問

屏蔽IP

iptables -I INPUT -s 192.168.122.122 -j DROP     #屏蔽單個IP的命令
iptables -I INPUT -s 192.168.122.0/24 -j DROP    #封IP段即從192.168.122.1到192.168.122.254