2 小时玩转 iptables 企业版

《2 小时玩转 iptables 企业版》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、ChinaUnix講座2小時玩轉iptables企業版cu.platinum@gmail.com2006.03.18最後修改時間：2006.07.23文檔維護者：白金(platinum)、陳緒(bjchenxu)v1.5.2主題大綱1.概述2.框架圖3.語法4.實例分析5.網管策略6.使用總則、FAQ7.實戰1.概述2.4.x、2.6.x內核netfilter/iptables2.1框架圖-->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING-->mangle

2、mangle^manglenat

3、filter

4、nat

5、

6、

7、

8、

9、v

10、INPUTOUTPUT

11、mangle^mangle

12、filter

13、natv------>local------->

14、filter2.2鏈和表表filter：顧名思義，用於過濾的時候nat：顧名思義，用於做NAT的時候NAT：NetworkAddressTranslator鏈INPUT：位於filter表，匹配目的IP是本機的數據包FORWARD：位於filter表，匹配穿過本機的資料包，PREROUTING：位於nat表，用於修改目的地址（DNAT）POSTROUTING：位於nat表，用於修改源地址（SNAT）3.1iptables語法概述ip

15、tables[-t要操作的表]<操作命令>[要操作的鏈][規則號碼][匹配條件][-j匹配到以後的動作]3.2命令概述操作命令（-A、-I、-D、-R、-P、-F）查看命令（-[vnx]L）3.2.1-A-A<鏈名>APPEND，追加一條規則（放到最後）例如：iptables-tfilter-AINPUT-jDROP在filter表的INPUT鏈裡追加一條規則（作為最後一條規則）匹配所有訪問本機IP的資料包，匹配到的丟棄3.2.2-I-I<鏈名>[規則號碼]INSERT，插入一條規則例如：iptables-IINPUT-jDROP在filter表的INPU

16、T鏈裡插入一條規則（插入成第1條）iptables-IINPUT3-jDROP在filter表的INPUT鏈裡插入一條規則（插入成第3條）注意：1、-tfilter可不寫，不寫則自動默認是filter表2、-I鏈名[規則號碼]，如果不寫規則號碼，則預設是13、確保規則號碼≤（已有規則數+1），否則報錯3.2.3-D-D<鏈名><規則號碼

17、具體規則內容>DELETE，刪除一條規則例如：iptables-DINPUT3（按號碼匹配）刪除filter表INPUT鏈中的第三條規則（不管它的內容是什麼）iptables-DINPUT-s192.168.0.1-jDR

18、OP（按內容匹配）刪除filter表INPUT鏈中內容為“-s192.168.0.1-jDROP”的規則（不管其位置在哪裡）注意：1、若規則清單中有多條相同的規則時，按內容匹配只刪除序號最小的一條2、按號碼匹配刪除時，確保規則號碼≤已有規則數，否則報錯3、按內容匹配刪除時，確保規則存在，否則報錯3.2.3-R-R<鏈名><規則號碼><具體規則內容>REPLACE，替換一條規則例如：iptables-RINPUT3-jACCEPT將原來編號為3的規則內容替換為“-jACCEPT”注意：確保規則號碼≤已有規則數，否則報錯3.2.4-P-P<鏈名><動作>POL

19、ICY，設置某個鏈的預設規則例如：iptables-PINPUTDROP設置filter表INPUT鏈的預設規則是DROP注意：當資料包沒有被規則清單裡的任何規則匹配到時，按此預設規則處理。動作前面不能加–j，這也是唯一一種匹配動作前面不加–j的情況。3.2.5-F-F[鏈名]FLUSH，清空規則例如：iptables-FINPUT清空filter表INPUT鏈中的所有規則iptables-tnat-FPREROUTING清空nat表PREROUTING鏈中的所有規則注意：1、-F僅僅是清空鏈中規則，並不影響-P設置的預設規則2、-P設置了DROP後，使用

20、-F一定要小心！！！3、如果不寫鏈名，默認清空某表裡所有鏈裡的所有規則3.2.6-[vxn]L-L[鏈名]LIST，列出規則v：顯示詳細資訊，包括每條規則的匹配包數量和匹配位元組數x：在v的基礎上，禁止自動單位換算（K、M）n：只顯示IP位址和埠號碼，不顯示功能變數名稱和服務名稱例如：iptables-L粗略列出filter表所有鏈及所有規則iptables-tnat-vnL用詳細方式列出nat表所有鏈的所有規則，只顯示IP位址和埠號iptables-tnat-vxnLPREROUTING用詳細方式列出nat表PREROUTING鏈的所有規則以及詳細數位，

21、不反解3.3匹配條件流入、流出介面（-i、-o）來源、目的地址（-