linux iptables

時間 2019-11-08

標籤 linux iptables 欄目 Linux 简体版

原文原文鏈接

轉http://www.javashuo.com/article/p-awyxlafv-ma.html前端

iptables防火牆能夠用於建立過濾(filter)與NAT規則。全部Linux發行版都能使用iptables，所以理解如何配置 iptables將會幫助你更有效地管理Linux防火牆。若是你是第一次接觸iptables，你會以爲它很複雜，可是一旦你理解iptables的工做原理，你會發現其實它很簡單。
linux

首先介紹iptables的結構：iptables -> Tables -> Chains -> Rules. 簡單地講，tables由chains組成，而chains又由rules組成。以下圖所示。 bash

圖: IPTables Table, Chain, and Rule Structure服務器

1、iptables的表與鏈網絡

iptables具備Filter, NAT, Mangle, Raw四種內建表：ssh

1. Filter表tcp

Filter表示iptables的默認表，所以若是你沒有自定義表，那麼就默認使用filter表，它具備如下三種內建鏈：函數

INPUT鏈 – 處理來自外部的數據。
OUTPUT鏈 – 處理向外發送的數據。
FORWARD鏈 – 將數據轉發到本機的其餘網卡設備上。

2. NAT表性能

NAT表有三種內建鏈：測試

PREROUTING鏈 – 處理剛到達本機並在路由轉發前的數據包。它會轉換數據包中的目標IP地址（destination ip address），一般用於DNAT(destination NAT)。
POSTROUTING鏈 – 處理即將離開本機的數據包。它會轉換數據包中的源IP地址（source ip address），一般用於SNAT（source NAT）。
OUTPUT鏈 – 處理本機產生的數據包。

3. Mangle表

Mangle表用於指定如何處理數據包。它能改變TCP頭中的QoS位。Mangle表具備5個內建鏈：

PREROUTING
OUTPUT
FORWARD
INPUT
POSTROUTING

4. Raw表

Raw表用於處理異常，它具備2個內建鏈：

PREROUTING chain
OUTPUT chain

5.小結

下圖展現了iptables的三個內建表：

圖: IPTables 內建表

2、IPTABLES 規則(Rules)

牢記如下三點式理解iptables規則的關鍵：

Rules包括一個條件和一個目標(target)
若是知足條件，就執行目標(target)中的規則或者特定值。
若是不知足條件，就判斷下一條Rules。

目標值（Target Values）

下面是你能夠在target裏指定的特殊值：

ACCEPT – 容許防火牆接收數據包
DROP – 防火牆丟棄包
QUEUE – 防火牆將數據包移交到用戶空間
RETURN – 防火牆中止執行當前鏈中的後續Rules，並返回到調用鏈(the calling chain)中。

若是你執行iptables –list你將看到防火牆上的可用規則。下例說明當前系統沒有定義防火牆，你能夠看到，它顯示了默認的filter表，以及表內默認的input鏈, forward鏈, output鏈。

# iptables -t filter –list
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

查看mangle表：

# iptables -t mangle –list

查看NAT表：

# iptables -t nat –list

查看RAW表：

# iptables -t raw –list

!注意：若是不指定 -t選項，就只會顯示默認的 filter表。所以，如下兩種命令形式是一個意思：

# iptables -t filter –list
(or)
# iptables –list

如下例子代表在filter表的input鏈, forward鏈, output鏈中存在規則：

# iptables –list
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all — 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all – 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
1 ACCEPT all – 0.0.0.0/0 0.0.0.0/0
2 ACCEPT icmp – 0.0.0.0/0 0.0.0.0/0 icmp type 255
3 ACCEPT esp – 0.0.0.0/0 0.0.0.0/0
4 ACCEPT ah – 0.0.0.0/0 0.0.0.0/0
5 ACCEPT udp – 0.0.0.0/0 224.0.0.251 udp dpt:5353
6 ACCEPT udp – 0.0.0.0/0 0.0.0.0/0 udp dpt:631
7 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
8 ACCEPT all – 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
10 REJECT all – 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

以上輸出包含下列字段：

num – 指定鏈中的規則編號
target – 前面提到的target的特殊值
prot – 協議：tcp, udp, icmp等
source – 數據包的源IP地址
destination – 數據包的目標IP地址

3、清空全部iptables規則

在配置iptables以前，你一般須要用iptables –list命令或者iptables-save命令查看有無現存規則，由於有時須要刪除現有的iptables規則：

iptables –flush
或者
iptables -F

這兩條命令是等效的。可是並不是執行後就萬事大吉了。你仍然須要檢查規則是否是真的清空了，由於有的linux發行版上這個命令不會清除NAT表中的規則，此時只能手動清除：

iptables -t NAT -F

4、永久生效

當你刪除、添加規則後，這些更改並不能永久生效，這些規則頗有可能在系統重啓後恢復原樣。爲了讓配置永久生效，根據平臺的不一樣，具體操做也不一樣。下面進行簡單介紹：

1.Ubuntu

首先，保存現有的規則：

iptables-save > /etc/iptables.rules

而後新建一個bash腳本，並保存到 /etc/network/if-pre-up.d/目錄下：

#!/bin/bash
iptables-restore < /etc/iptables.rules

這樣，每次系統重啓後iptables規則都會被自動加載。

！注意：不要嘗試在.bashrc或者.profile中執行以上命令，由於用戶一般不是root，並且這隻能在登陸時加載iptables規則。

2.CentOS, RedHat

# 保存iptables規則
service iptables save

# 重啓iptables服務
service iptables stop
service iptables start

查看當前規則：

cat /etc/sysconfig/iptables

5、追加iptables規則

可使用iptables -A命令追加新規則，其中 -A表示 Append。所以，新的規則將追加到鏈尾。

通常而言，最後一條規則用於丟棄(DROP)全部數據包。若是你已經有這樣的規則了，而且使用 -A參數添加新規則，那麼就是無用功。

1.語法

iptables -A chain firewall-rule

-A chain – 指定要追加規則的鏈
firewall-rule – 具體的規則參數

2.描述規則的基本參數

如下這些規則參數用於描述數據包的協議、源地址、目的地址、容許通過的網絡接口，以及如何處理這些數據包。這些描述是對規則的基本描述。

-p 協議（protocol）

指定規則的協議，如tcp, udp, icmp等，可使用all來指定全部協議。
若是不指定-p參數，則默認是all值。這並不明智，請老是明確指定協議名稱。
可使用協議名(如tcp)，或者是協議值（好比6表明tcp）來指定協議。映射關係請查看/etc/protocols
還可使用–protocol參數代替-p參數

-s 源地址（source）

指定數據包的源地址
參數可使IP地址、網絡地址、主機名
例如：-s 192.168.1.101指定IP地址
例如：-s 192.168.1.10/24指定網絡地址
若是不指定-s參數，就表明全部地址
還可使用–src或者–source

-d 目的地址（destination）

指定目的地址
參數和-s相同
還可使用–dst或者–destination

-j 執行目標（jump to target）

-j表明」jump to target」
-j指定了當與規則(Rule)匹配時如何處理數據包
可能的值是ACCEPT, DROP, QUEUE, RETURN，MASQUERADE
還能夠指定其餘鏈（Chain）做爲目標
注：MASQUERADE，地址假裝，算是snat中的一種特例，能夠實現自動化的snat（詳情見上一篇文章）。

-i 輸入接口（input interface）

-i表明輸入接口(input interface)
-i指定了要處理來自哪一個接口的數據包
這些數據包即將進入INPUT, FORWARD, PREROUTE鏈
例如：-i eth0指定了要處理經由eth0進入的數據包
若是不指定-i參數，那麼將處理進入全部接口的數據包
若是出現! -i eth0，那麼將處理全部經由eth0之外的接口進入的數據包
若是出現-i eth+，那麼將處理全部經由eth開頭的接口進入的數據包
還可使用–in-interface參數

-o 輸出（out interface）

-o表明」output interface」
-o指定了數據包由哪一個接口輸出
這些數據包即將進入FORWARD, OUTPUT, POSTROUTING鏈
若是不指定-o選項，那麼系統上的全部接口均可以做爲輸出接口
若是出現! -o eth0，那麼將從eth0之外的接口輸出
若是出現-i eth+，那麼將僅從eth開頭的接口輸出
還可使用–out-interface參數

3.描述規則的擴展參數

對規則有了一個基本描述以後，有時候咱們還但願指定端口、TCP標誌、ICMP類型等內容。

–sport 源端口（source port）針對 -p tcp 或者 -p udp

缺省狀況下，將匹配全部端口
能夠指定端口號或者端口名稱，例如」–sport 22″與」–sport ssh」。
/etc/services文件描述了上述映射關係。
從性能上講，使用端口號更好
使用冒號能夠匹配端口範圍，如」–sport 22:100″
還可使用」–source-port」

–-dport 目的端口（destination port）針對-p tcp 或者 -p udp

參數和–sport相似
還可使用」–destination-port」

-–tcp-flags TCP標誌針對-p tcp

能夠指定由逗號分隔的多個參數
有效值能夠是：SYN, ACK, FIN, RST, URG, PSH
可使用ALL或者NONE

-–icmp-type ICMP類型針對-p icmp

–icmp-type 0 表示Echo Reply
–icmp-type 8 表示Echo

4.追加規則的完整實例：僅容許SSH服務

本例實現的規則將僅容許SSH數據包經過本地計算機，其餘一切鏈接（包括ping）都將被拒絕。

# 1.清空全部iptables規則
iptables -F

# 2.接收目標端口爲22的數據包
iptables -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT

# 3.拒絕全部其餘數據包
iptables -A INPUT -j DROP

6、更改默認策略

上例的例子僅對接收的數據包過濾，而對於要發送出去的數據包卻沒有任何限制。本節主要介紹如何更改鏈策略，以改變鏈的行爲。

1. 默認鏈策略

/!\警告：請勿在遠程鏈接的服務器、虛擬機上測試！

當咱們使用-L選項驗證當前規則是發現，全部的鏈旁邊都有 policy ACCEPT標註，這代表當前鏈的默認策略爲ACCEPT：

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp – anywhere anywhere tcp dpt:ssh
DROP all – anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

這種狀況下，若是沒有明確添加DROP規則，那麼默認狀況下將採用ACCEPT策略進行過濾。除非：

a)爲以上三個鏈單獨添加DROP規則：

iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP

b)更改默認策略：

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

糟糕！！若是你嚴格按照上一節的例子配置了iptables，而且如今使用的是SSH進行鏈接的，那麼會話恐怕已經被迫終止了！

爲何呢？由於咱們已經把OUTPUT鏈策略更改成DROP了。此時雖然服務器能接收數據，可是沒法發送數據：

# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp – anywhere anywhere tcp dpt:ssh
DROP all – anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination

7、配置應用程序規則

儘管5.4節已經介紹瞭如何初步限制除SSH之外的其餘鏈接，可是那是在鏈默認策略爲ACCEPT的狀況下實現的，而且沒有對輸出數據包進行限制。本節在上一節基礎上，以SSH和HTTP所使用的端口爲例，教你們如何在默認鏈策略爲DROP的狀況下，進行防火牆設置。在這裏，咱們將引進一種新的參數-m state，並檢查數據包的狀態字段。

1.SSH

# 1.容許接收遠程主機的SSH請求
iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT

# 2.容許發送本地主機的SSH響應
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

-m state: 啓用狀態匹配模塊（state matching module）
–-state: 狀態匹配模塊的參數。當SSH客戶端第一個數據包到達服務器時，狀態字段爲NEW；創建鏈接後數據包的狀態字段都是ESTABLISHED
–sport 22: sshd監聽22端口，同時也經過該端口和客戶端創建鏈接、傳送數據。所以對於SSH服務器而言，源端口就是22
–dport 22: ssh客戶端程序能夠從本機的隨機端口與SSH服務器的22端口創建鏈接。所以對於SSH客戶端而言，目的端口就是22

若是服務器也須要使用SSH鏈接其餘遠程主機，則還須要增長如下配置：

# 1.送出的數據包目的端口爲22
iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT

# 2.接收的數據包源端口爲22
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

2.HTTP

HTTP的配置與SSH相似：

# 1.容許接收遠程主機的HTTP請求
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT

# 1.容許發送本地主機的HTTP響應
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT

3.完整的配置

# 1.刪除現有規則
iptables -F

# 2.配置默認鏈策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# 3.容許遠程主機進行SSH鏈接
iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

# 4.容許本地主機進行SSH鏈接
iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

# 5.容許HTTP請求
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT

iptables命令是Linux上經常使用的防火牆軟件，是netfilter項目的一部分。能夠直接配置，也能夠經過許多前端和圖形界面配置。

語法

iptables(選項)(參數)

選項

-t<表>：指定要操縱的表；
-A：向規則鏈中添加條目；
-D：從規則鏈中刪除條目；
-i：向規則鏈中插入條目；
-R：替換規則鏈中的條目；
-L：顯示規則鏈中已有的條目；
-F：清楚規則鏈中已有的條目；
-Z：清空規則鏈中的數據包計算器和字節計數器；
-N：建立新的用戶自定義規則鏈；
-P：定義規則鏈中的默認目標；
-h：顯示幫助信息；
-p：指定要匹配的數據包協議類型；
-s：指定要匹配的數據包源ip地址；
-j<目標>：指定要跳轉的目標；
-i<網絡接口>：指定數據包進入本機的網絡接口；
-o<網絡接口>：指定數據包要離開本機所使用的網絡接口。

iptables命令選項輸入順序：

iptables -t 表名 <-A/I/D/R> 規則鏈名 [規則號] <-i/o 網卡名> -p 協議名 <-s 源IP/源子網> --sport 源端口 <-d 目標IP/目標子網> --dport 目標端口 -j 動做

表名包括：

raw：高級功能，如：網址過濾。
mangle：數據包修改（QOS），用於實現服務質量。
net：地址轉換，用於網關路由器。
filter：包過濾，用於防火牆規則。

規則鏈名包括：

INPUT鏈：處理輸入數據包。
OUTPUT鏈：處理輸出數據包。
PORWARD鏈：處理轉發數據包。
PREROUTING鏈：用於目標地址轉換（DNAT）。
POSTOUTING鏈：用於源地址轉換（SNAT）。

動做包括：

accept：接收數據包。
DROP：丟棄數據包。
REDIRECT：重定向、映射、透明代理。
SNAT：源地址轉換。
DNAT：目標地址轉換。
MASQUERADE：IP假裝（NAT），用於ADSL。
LOG：日誌記錄。

實例

清除已有iptables規則

iptables -F
iptables -X
iptables -Z

開放指定的端口

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT               #容許本地迴環接口(即運行本機訪問本機)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT    #容許已創建的或相關連的通行
iptables -A OUTPUT -j ACCEPT         #容許全部本機向外的訪問
iptables -A INPUT -p tcp --dport 22 -j ACCEPT    #容許訪問22端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT    #容許訪問80端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT    #容許ftp服務的21端口
iptables -A INPUT -p tcp --dport 20 -j ACCEPT    #容許FTP服務的20端口
iptables -A INPUT -j reject       #禁止其餘未容許的規則訪問
iptables -A FORWARD -j REJECT     #禁止其餘未容許的規則訪問

屏蔽IP

iptables -I INPUT -s 123.45.6.7 -j DROP       #屏蔽單個IP的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP      #封整個段即從123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP    #封IP段即從123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP    #封IP段即從123.45.6.1到123.45.6.254的命令是

查看已添加的iptables規則

iptables -L -n -v
Chain INPUT (policy DROP 48106 packets, 2690K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 5075  589K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
 191K   90M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
1499K  133M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
4364K 6351M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
 6256  327K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 3382K packets, 1819M bytes)
 pkts bytes target     prot opt in     out     source               destination         
 5075  589K ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0

刪除已添加的iptables規則

將全部iptables以序號標記顯示，執行：

iptables -L -n --line-numbers

好比要刪除INPUT裏序號爲8的規則，執行：

iptables -D INPUT 8

前提基礎：
一、當主機收到一個數據包後，數據包先在內核空間中處理，若發現目的地址是自身，則傳到用戶空間中交給對應的應用程序處理，若發現目的不是自身，則會將包丟棄或進行轉發。

二、iptables實現防火牆功能的原理是：在數據包通過內核的過程當中有五處關鍵地方，分別是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING，稱爲鉤子函數，iptables這款用戶空間的軟件能夠在這5處地方寫規則，對通過的數據包進行處理，規則通常的定義爲「若是數據包頭符合這樣的條件，就這樣處理數據包」。

三、iptables中定義有5條鏈，說白了就是上面說的5個鉤子函數，由於每一個鉤子函數中能夠定義多條規則，每當數據包到達一個鉤子函數時，iptables就會從鉤子函數中第一條規則開始檢查，看該數據包是否知足規則所定義的條件。若是知足，系統就會根據該條規則所定義的方法處理該數據包；不然iptables將繼續檢查下一條規則，若是該數據包不符合鉤子函數中任一條規則，iptables就會根據該函數預先定義的默認策略來處理數據包

四、iptables中定義有表，分別表示提供的功能，有filter表（實現包過濾）、nat表（實現網絡地址轉換）、mangle表（實現包修改）、raw表（實現數據跟蹤），這些表具備必定的優先級：raw-->mangle-->nat-->filter

一條鏈上可定義不一樣功能的規則，檢查數據包時將根據上面的優先級順序檢查

一、目的地址是本地，則發送到INPUT，讓INPUT決定是否接收下來送到用戶空間，流程爲①--->②;

二、若知足PREROUTING的nat表上的轉發規則，則發送給FORWARD，而後再通過POSTROUTING發送出去，流程爲： ①--->③--->④--->⑥

主機發送數據包時，流程則是⑤--->⑥

iptables安裝配置

linux通常默認都已經安裝iptables，只須要開啓服務便可

service iptables start //啓動

service iptables restart //重啓

service iptables stop //關閉

iptables規則書寫：

基本語法：iptables [-t 表] [操做命令] [鏈] [規則匹配器] [-j 目標動做]

表	說明	支持的鏈
raw	通常是爲了避免再讓iptables對數據包進行跟蹤，提升性能	PREROUTING、OUTPUT
mangle	對數據包進行修改	五個鏈均可以
nat	進行地址轉換	PREROUTING、OUTPUT、POSTROUTING
filter(默認）	對包進行過濾	INPUT、FORWARD、OUTPUT

經常使用操做命令	說明
-A	在指定鏈尾部添加規則
-D	刪除匹配的規則
-R	替換匹配的規則
-I	在指定位置插入規則(例：iptables -I INPUT 1 --dport 80 -j ACCEPT（將規則插入到filter表INPUT鏈中的第一位上）
-L/S	列出指定鏈或全部鏈的規則
-F	刪除指定鏈或全部鏈的規則
-N	建立用戶自定義鏈[例：iptables -N allowed]
-X	刪除指定的用戶自定義鏈
-P	爲指定鏈設置默認規則策略，對自定義鏈不起做用
-Z	將指定鏈或全部鏈的計數器清零
-E	更改自定義鏈的名稱[例：iptables -E allowed disallowed]
-n	ip地址和端口號以數字方式顯示[例：iptables -nL]

經常使用規則匹配器	說明
-p tcp/udp/icmp/all	匹配協議，all會匹配全部協議
-s addr[/mask]	匹配源地址
-d addr[/mask]	匹配目標地址
--sport port1[:port2]	匹配源端口(可指定連續的端口）
--dport port1[:port2]	匹配目的端口(可指定連續的端口）
-o interface	匹配出口網卡，只適用FORWARD、POSTROUTING、OUTPUT(例：iptables -A FORWARD -o eth0)
-i interface	匹配入口網卡，只使用PREROUTING、INPUT、FORWARD。
--icmp-type	匹配icmp類型（使用iptables -p icmp -h可查看可用的ICMP類型）
--tcp-flags mask comp	匹配TCP標記，mask表示檢查範圍，comp表示匹配mask中的哪些標記。（例：iptables -A FORWARD -p tcp --tcp-flags ALL SYN，ACK -j ACCEPT 表示匹配SYN和ACK標記的數據包）

目標動做	說明
ACCEPT	容許數據包經過
DROP	丟棄數據包
REJECT	丟棄數據包，而且將拒絕信息發送給發送方
SNAT	源地址轉換（在nat表上）例：iptables -t nat -A POSTROUTING -d 192.168.0.102 -j SNAT --to 192.168.0.1
DNAT	目標地址轉換（在nat表上）例：iptables -t nat -A PREROUTING -d 202.202.202.2 -j DNAT --to-destination 192.168.0.102
REDIRECT	目標端口轉換（在nat表上）例：iptables -t nat -D PREROUTING -p tcp --dport 8080 -i eth2.2 -j REDIRECT --to 80
MARK	將數據包打上標記;例：iptables -t mangle -A PREROUTING -s 192.168.1.3 -j MARK --set-mark 60

PS：
一、目標地址轉換通常在PREROUTING鏈上操做
二、源地址轉換通常在POSTROUTING鏈上操做

保存和恢復iptables規則

使用iptables-save能夠保存到特定文件中

iptables-save >/etc/sysconfig/iptables_save

使用iptables-restore能夠恢復規則

iptables-restore</etc/sysconfig/iptables_save

iptables的進階使用
一、limit限制流量：
-m limit --limit 1000/s #設置最大平均匹配速率
-m limit --limit-burst 15 #設置一開始匹配的最大數據包數量
-m limit --limit 5/m --limit-burst 15 #表示一開始能匹配的數據包數量爲15個，每匹配到一個，limit-burst的值減1,因此匹配到15個時，該值爲0,之後每過12s，limit-burst的值會加1,表示又能匹配1個數據包
例子：

iptables -A INPUT -i eth0 -m limit --limit 5/m --limit-burst 15 -j ACCEPT

iptables -A INPUT -i eth0 -j DROP

注意要點：

A、--limit-burst的值要比--limit的大

B、limit自己沒有丟棄數據包的功能，所以，須要第二條規則一塊兒才能實現限速的功能

二、time ：在特定時間內匹配

-m time	說明
--monthdays day1[,day2]	在每月的特定天匹配
--timestart hh:mm:ss	在天天的指定時間開始匹配
--timestop hh:mm:ss	在天天的指定時間中止匹配
--weekdays day1[,day2]	在每一個星期的指定工做日匹配，值能夠是1-7