學(xué)習(xí)iptables個人總結(jié)

1、iptables命令

iptables命令是Linux上常用的防火墻軟件，是netfilter項目的一部分?？梢灾苯优渲?，也可以通過許多前端和圖形界面配置。

2、iptables的"四表五鏈:"

四表包括： 

raw：高級功能，如：網(wǎng)址過濾。 

mangle：數(shù)據(jù)包修改（QOS），用于實現(xiàn)服務(wù)質(zhì)量。 

net：地址轉(zhuǎn)換，用于網(wǎng)關(guān)路由器。 

filter：包過濾，用于防火墻規(guī)則。

五條規(guī)則鏈名包括：（netfilter內(nèi)核模塊上的五個函數(shù)） 

INPUT鏈：處理輸入數(shù)據(jù)包。 

OUTPUT鏈：處理輸出數(shù)據(jù)包。 

PORWARD鏈：處理轉(zhuǎn)發(fā)數(shù)據(jù)包。 

PREROUTING鏈：用于目標地址轉(zhuǎn)換（DNAT）。 

POSTOUTING鏈：用于源地址轉(zhuǎn)換（SNAT）。 

3、數(shù)據(jù)包的過濾匹配流程如下圖；

4、對數(shù)據(jù)包處理動作包括： 

ACCEPT：接收數(shù)據(jù)包。 

DROP：丟棄數(shù)據(jù)包。 

REDIRECT：重定向、映射、透明代理。 

SNAT：源地址轉(zhuǎn)換。 

DNAT：目標地址轉(zhuǎn)換。 

MASQUERADE：IP偽裝（NAT），用于ADSL。 

LOG：日志記錄。

5、iptables語法 

iptables(選項)(參數(shù)) 

1、查看默認規(guī)則：

iptables [-t table] [-L] [-nv]

2、查看防火墻規(guī)則：

iptables-save [-t table]

3、清除防火墻規(guī)則：

iptables [-t tables] [-FXZ]

4、定義默認規(guī)則：

iptables [-t table] -P [INPUT，OUTPUT，F(xiàn)ORWARD] [ACCEPT，DROP]

5、數(shù)據(jù)包的比對設(shè)置；

iptables [-AI 鏈名] [-io 網(wǎng)絡(luò)接口] [-p 協(xié)議] [-s 來源IP/網(wǎng)絡(luò)] [-d 目標IP/網(wǎng)絡(luò)] -j[ACCEPT|DROP|REJECT|LOG]

6、iptables的模塊(state,mac)：

iptables -A INPUT [-m state] [--state 狀態(tài)]
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j ACCEPT

7、icmp數(shù)據(jù)包規(guī)劃比對：

iptables -A INPUT [-p icmp] [--icmp-type 類型] -j ACCEPT

ICMP常見類型：

0    Echo Reply——回顯應(yīng)答（Ping應(yīng)答）

8    Echo request——回顯請求（Ping請求）

選項： 

-t<表>：指定要操縱的表； 

-A：向規(guī)則鏈中添加條目； 

-D：從規(guī)則鏈中刪除條目； 

-i：向規(guī)則鏈中插入條目； 

-R：替換規(guī)則鏈中的條目； 

-L：顯示規(guī)則鏈中已有的條目； 

-F：清楚規(guī)則鏈中已有的條目； 

-Z：清空規(guī)則鏈中的數(shù)據(jù)包計算器和字節(jié)計數(shù)器； 

-N：創(chuàng)建新的用戶自定義規(guī)則鏈； 

-P：定義規(guī)則鏈中的默認目標； 

-h：顯示幫助信息； 

-p：指定要匹配的數(shù)據(jù)包協(xié)議類型； 

-s：指定要匹配的數(shù)據(jù)包源ip地址； 

-j<目標>：指定要跳轉(zhuǎn)的目標； 

-i<網(wǎng)絡(luò)接口>：指定數(shù)據(jù)包進入本機的網(wǎng)絡(luò)接口； 

-o<網(wǎng)絡(luò)接口>：指定數(shù)據(jù)包要離開本機所使用的網(wǎng)絡(luò)接口。  

6、一般情況下創(chuàng)建防火墻規(guī)則的順序：

1、清空防火墻規(guī)則

2、設(shè)置防火墻的默認策略

3、信任本機：（由于lo對本機來說是相當重要的，因此lo必須設(shè)置為信任設(shè)備）

4、回應(yīng)數(shù)據(jù)包：（讓本機通過主動向外發(fā)出請求而響應(yīng)的數(shù)據(jù)包可以進入本機(ESTABLISHED、RELATED) ）

5、添加具體的規(guī)則

7、iptables簡單查看示例：

# iptables -nL 查看防火墻設(shè)置
# iptables -t nat -nL 查看nat表
# iptables -t mangle -nL 查看mangle表
# iptables -t raw -nL 查看raw表
# iptables -t filter -P FORWARD DROP 設(shè)定FORWARD默認策略為丟棄，-t filter可省略；
# iptables -P INPUT DROP 設(shè)置INPUT默認策略;
# iptables -P OUTPUT DROP 設(shè)置OUTPUT默認策略;
# iptables -nL INPUT 查看指定某個鏈上的規(guī)則；
# iptables -nvL 查看詳細信息；
# iptables -nvxL 查看詳細信息，且顯示單位為字節(jié)；
# iptables -nvxL --line-number 顯示規(guī)則編號；
# iptables -nvvxL --line-number 顯示更詳細信息；
# iptables -nvvvxL --line-number 顯示更多更詳細信息；
# iptables -S 顯示添加的規(guī)則命令；
# iptables -S INPUT 顯示在input鏈上添加的規(guī)則命令；
# iptables -F 清空規(guī)則；