iptables常用處理動(dòng)作是什么

這篇文章主要講解了“iptables常用處理動(dòng)作是什么”，文中的講解內(nèi)容簡(jiǎn)單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來研究和學(xué)習(xí)“iptables常用處理動(dòng)作是什么”吧！

在iptables中，-j 參數(shù)用來指定要進(jìn)行的處理動(dòng)作，常用的處理動(dòng)作包括：ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK。

分別說明如下：

ACCEPT 將數(shù)據(jù)包放行，進(jìn)行完此處理動(dòng)作后，將不再比對(duì)其它規(guī)則，直接跳往下一個(gè)規(guī)則鏈。

REJECT 攔阻該數(shù)據(jù)包，并傳送數(shù)據(jù)包通知對(duì)方，可以傳送的數(shù)據(jù)包有幾個(gè)選擇：ICMP port-unreachable、ICMP echo-reply 或是tcp-reset（這個(gè)數(shù)據(jù)包會(huì)要求對(duì)方關(guān)閉聯(lián)機(jī)），進(jìn)行完此處理動(dòng)作后，將不再比對(duì)其它規(guī)則，直接 中斷過濾程序。

范例如下：

iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset

DROP 丟棄包不予處理，進(jìn)行完此處理動(dòng)作后，將不再比對(duì)其它規(guī)則，直接中斷過濾程序。

REDIRECT 將包重新導(dǎo)向到另一個(gè)端口（PNAT），進(jìn)行完此處理動(dòng)作后，將會(huì)繼續(xù)比對(duì)其它規(guī)則。 這個(gè)功能可以用來實(shí)作通透式porxy 或用來保護(hù) web 服務(wù)器。

例如：

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

MASQUERADE 改寫數(shù)據(jù)包來源 IP為防火墻 NIC IP，可以指定 port 對(duì)應(yīng)的范圍，進(jìn)行完此處理動(dòng)作后，直接跳往下一個(gè)規(guī)則。這個(gè)功能與 SNAT 略有不同，當(dāng)進(jìn)行 IP 偽裝時(shí)，不需指定要偽裝成哪個(gè) IP，IP 會(huì)從網(wǎng)卡直接讀取，當(dāng)使用撥號(hào)連接時(shí)，IP 通常是由 ISP 公司的 DHCP 服務(wù)器指派的，這個(gè)時(shí)候 MASQUERADE 特別有用。

范例如下：

iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000

LOG 將封包相關(guān)訊息紀(jì)錄在 /var/log 中，詳細(xì)位置請(qǐng)查閱 /etc/syslog.conf 配置文件，進(jìn)行完此處理動(dòng)作后，將會(huì)繼續(xù)比對(duì)其規(guī)則。

例如：

iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"

SNAT 改寫封包來源 IP 為某特定 IP 或 IP 范圍，可以指定 port 對(duì)應(yīng)的范圍，進(jìn)行完此處理動(dòng)作后，將直接跳往下一個(gè)規(guī)則（mangleostrouting）。

范例如下：

iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000

DNAT 改寫封包目的地 IP 為某特定 IP 或 IP 范圍，可以指定 port 對(duì)應(yīng)的范圍，進(jìn)行完此處理動(dòng)作后，將會(huì)直接跳往下一個(gè)規(guī)煉（filter:input 或 filter:forward）。

范例如下：

iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100

MIRROR 鏡像數(shù)據(jù)包，也就是將來源 IP 與目的地 IP 對(duì)調(diào)后，將數(shù)據(jù)包送回，進(jìn)行完此處理動(dòng)作后，將會(huì)中斷過濾程序。

QUEUE 中斷過濾程序，將數(shù)據(jù)包放入隊(duì)列，交給其它程序處理。透過自行開發(fā)的處理程序，可以進(jìn)行其它應(yīng)用，例如：計(jì)算聯(lián)機(jī)費(fèi).......等。

RETURN 結(jié)束在目前規(guī)則鏈中的過濾程序，返回主規(guī)則鏈繼續(xù)過濾，如果把自訂規(guī)則鏈看成是一個(gè)子程序，那么這個(gè)動(dòng)作，就相當(dāng)提早結(jié)束子程序并返回到主程序中。

MARK 將數(shù)據(jù)包標(biāo)上某個(gè)代號(hào)，以便提供作為后續(xù)過濾的條件判斷依據(jù)，進(jìn)行完此處理動(dòng)作后，將會(huì)繼續(xù)比對(duì)其它規(guī)則。

范例如下：

iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2

感謝各位的閱讀，以上就是“iptables常用處理動(dòng)作是什么”的內(nèi)容了，經(jīng)過本文的學(xué)習(xí)后，相信大家對(duì)iptables常用處理動(dòng)作是什么這一問題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是億速云，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！