學習iptables個人總結

1、iptables命令

iptables命令是Linux上常用的防火墻軟件，是netfilter項目的一部分。可以直接配置，也可以通過許多前端和圖形界面配置。

2、iptables的"四表五鏈:"

四表包括： 

raw：高級功能，如：網址過濾。 

mangle：數據包修改（QOS），用于實現服務質量。 

net：地址轉換，用于網關路由器。 

filter：包過濾，用于防火墻規則。

五條規則鏈名包括：（netfilter內核模塊上的五個函數） 

INPUT鏈：處理輸入數據包。 

OUTPUT鏈：處理輸出數據包。 

PORWARD鏈：處理轉發數據包。 

PREROUTING鏈：用于目標地址轉換（DNAT）。 

POSTOUTING鏈：用于源地址轉換（SNAT）。 

3、數據包的過濾匹配流程如下圖；

4、對數據包處理動作包括： 

ACCEPT：接收數據包。 

DROP：丟棄數據包。 

REDIRECT：重定向、映射、透明代理。 

SNAT：源地址轉換。 

DNAT：目標地址轉換。 

MASQUERADE：IP偽裝（NAT），用于ADSL。 

LOG：日志記錄。

5、iptables語法 

iptables(選項)(參數) 

1、查看默認規則：

iptables [-t table] [-L] [-nv]

2、查看防火墻規則：

iptables-save [-t table]

3、清除防火墻規則：

iptables [-t tables] [-FXZ]

4、定義默認規則：

iptables [-t table] -P [INPUT，OUTPUT，FORWARD] [ACCEPT，DROP]

5、數據包的比對設置；

iptables [-AI 鏈名] [-io 網絡接口] [-p 協議] [-s 來源IP/網絡] [-d 目標IP/網絡] -j[ACCEPT|DROP|REJECT|LOG]

6、iptables的模塊(state,mac)：

iptables -A INPUT [-m state] [--state 狀態]
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j ACCEPT

7、icmp數據包規劃比對：

iptables -A INPUT [-p icmp] [--icmp-type 類型] -j ACCEPT

ICMP常見類型：

0    Echo Reply——回顯應答（Ping應答）

8    Echo request——回顯請求（Ping請求）

選項： 

-t<表>：指定要操縱的表； 

-A：向規則鏈中添加條目； 

-D：從規則鏈中刪除條目； 

-i：向規則鏈中插入條目； 

-R：替換規則鏈中的條目； 

-L：顯示規則鏈中已有的條目； 

-F：清楚規則鏈中已有的條目； 

-Z：清空規則鏈中的數據包計算器和字節計數器； 

-N：創建新的用戶自定義規則鏈； 

-P：定義規則鏈中的默認目標； 

-h：顯示幫助信息； 

-p：指定要匹配的數據包協議類型； 

-s：指定要匹配的數據包源ip地址； 

-j<目標>：指定要跳轉的目標； 

-i<網絡接口>：指定數據包進入本機的網絡接口； 

-o<網絡接口>：指定數據包要離開本機所使用的網絡接口。  

6、一般情況下創建防火墻規則的順序：

1、清空防火墻規則

2、設置防火墻的默認策略

3、信任本機：（由于lo對本機來說是相當重要的，因此lo必須設置為信任設備）

4、回應數據包：（讓本機通過主動向外發出請求而響應的數據包可以進入本機(ESTABLISHED、RELATED) ）

5、添加具體的規則

7、iptables簡單查看示例：

# iptables -nL 查看防火墻設置
# iptables -t nat -nL 查看nat表
# iptables -t mangle -nL 查看mangle表
# iptables -t raw -nL 查看raw表
# iptables -t filter -P FORWARD DROP 設定FORWARD默認策略為丟棄，-t filter可省略；
# iptables -P INPUT DROP 設置INPUT默認策略;
# iptables -P OUTPUT DROP 設置OUTPUT默認策略;
# iptables -nL INPUT 查看指定某個鏈上的規則；
# iptables -nvL 查看詳細信息；
# iptables -nvxL 查看詳細信息，且顯示單位為字節；
# iptables -nvxL --line-number 顯示規則編號；
# iptables -nvvxL --line-number 顯示更詳細信息；
# iptables -nvvvxL --line-number 顯示更多更詳細信息；
# iptables -S 顯示添加的規則命令；
# iptables -S INPUT 顯示在input鏈上添加的規則命令；
# iptables -F 清空規則；