filter: 顾名思义,用于过滤的时候
nat: 顾名思义,用于做NAT 的时候
NAT:Network Address Translator
链
INPUT: 位于filter 表,匹配目的IP 是本机的数据包
FORWARD: 位于filter 表,匹配穿过本机的数据包,
PREROUTING: 位于nat 表,用于修改目的地址(DNAT)
POSTROUTING:位于nat 表,用于修改源地址(SNAT)
iptables -t filter -A INPUT -j DROP
在filter 表的INPUT 链里追加一条规则(作为最后一条规则)
匹配所有访问本机IP 的数据包,匹配到的丢弃
-I <链名> [规则号码]
INSERT,插入一条规则
例如:
iptables -I INPUT -j DROP
在filter 表的INPUT 链里插入一条规则(插入成第1 条)
iptables -I INPUT 3 -j DROP
在filter 表的INPUT 链里插入一条规则(插入成第3 条)
注意: 1、-t filter 可不写,不写则自动默认是filter 表
2、-I 链名[规则号码],如果不写规则号码,则默认是1
3、确保规则号码≤ (已有规则数+ 1),否则报错
-D <链名> <规则号码| 具体规则内容>
DELETE,删除一条规则
例如:
iptables -D INPUT 3(按号码匹配)
删除filter 表INPUT 链中的第三条规则(不管它的内容是什么)
iptables -D INPUT -s 192.168.0.1 -j DROP(按内容匹配)
删除filter 表INPUT 链中内容为“-s 192.168.0.1 -j DROP”的规则
(不管其位置在哪里)
注意:
1、若规则列表中有多条相同的规则时,按内容匹配只删除序号最小的一条
2、按号码匹配删除时,确保规则号码≤ 已有规则数,否则报错
3、按内容匹配删除时,确保规则存在,否则报错
-R <链名> <规则号码> <具体规则内容>
REPLACE,替换一条规则
例如:
iptables -R INPUT 3 -j ACCEPT
将原来编号为3 的规则内容替换为“-j ACCEPT”
注意:
确保规则号码≤ 已有规则数,否则报错
-P <链名> <动作>
POLICY,设置某个链的默认规则
例如:
iptables -P INPUT DROP
设置filter 表INPUT 链的默认规则是DROP
注意:
当数据包没有被规则列表里的任何规则匹配到时,按此默认规则处理。
动作前面不能加–j,这也是唯一一种匹配动作前面不加–j 的情况
-F [链名]
FLUSH,清空规则
例如:
iptables -F INPUT
清空filter 表INPUT 链中的所有规则
iptables -t nat -F PREROUTING
清空nat 表PREROUTING 链中的所有规则
注意:
1、-F 仅仅是清空链中规则,并不影响-P 设置的默认规则
2、-P 设置了DROP 后,使用-F 一定要小心!!!
3、如果不写链名,默认清空某表里所有链里的所有规则
-L [链名]
LIST,列出规则
v:显示详细信息,包括每条规则的匹配包数量和匹配字节数
x:在v 的基础上,禁止自动单位换算(K、M)
n:只显示IP 地址和端口号码,不显示域名和服务名称
例如:
iptables -L
粗略列出filter 表所有链及所有规则
iptables -t nat -vnL
用详细方式列出nat 表所有链的所有规则,只显示IP 地址和端口号
iptables -t nat -vxnL PREROUTING
用详细方式列出nat 表PREROUTING 链的所有规则以及详细数字,不反解
3.3 匹配条件
£流入、流出接口(-i、-o)
£来源、目的地址(-s、-d)
£协议类型(-p)
£来源、目的端口(--sport、--dport)
-i <匹配数据进入的网络接口>
例如:
-i eth0
匹配是否从网络接口eth0 进来
-i ppp0
匹配是否从网络接口ppp0 进来
-o 匹配数据流出的网络接口
例如:
-o eth0
-o ppp0
-s <匹配来源地址>
可以是IP、NET、DOMAIN,也可空(任何地址)
例如:
-s 192.168.0.1 匹配来自192.168.0.1 的数据包
-s 192.168.1.0/24 匹配来自192.168.1.0/24 网络的数据包
-s 192.168.0.0/16 匹配来自192.168.0.0/16 网络的数据包
-d <匹配目的地址>
可以是IP、NET、DOMAIN,也可以空
例如:
-d 202.106.0.20 匹配去往202.106.0.20 的数据包
-d 202.106.0.0/16 匹配去往202.106.0.0/16 网络的数据包
-d www.abc.com 匹配去往域名www.abc.com 的数据包
-p <匹配协议类型>
可以是TCP、UDP、ICMP 等,也可为空
例如:
-p tcp
-p udp
-p icmp --icmp-type 类型
ping: type 8 pong: type 0
--sport <匹配源端口>
可以是个别端口,可以是端口范围
例如:
--sport 1000 匹配源端口是1000 的数据包
--sport 1000:3000 匹配源端口是1000-3000 的数据包(含1000、3000)
--sport :3000 匹配源端口是3000 以下的数据包(含3000)
--sport 1000: 匹配源端口是1000 以上的数据包(含1000)
--dport <匹配目的端口>
可以是个别端口,可以是端口范围
例如:
--dport 80 匹配目的端口是80 的数据包
--dport 6000:8000 匹配目的端口是6000-8000 的数据包(含6000、8000)
--dport :3000 匹配目的端口是3000 以下的数据包(含3000)
--dport 1000: 匹配目的端口是1000 以上的数据包(含1000)
注意:--sport 和--dport 必须配合-p 参数使用
1、端口匹配
-p udp --dport 53
匹配网络中目的端口是53 的UDP 协议数据包
2、地址匹配
-s 10.1.0.0/24 -d 172.17.0.0/16
匹配来自10.1.0.0/24 去往172.17.0.0/16 的所有数据包
3、端口和地址联合匹配
-s 192.168.0.1 -d www.abc.com -p tcp --dport 80
匹配来自192.168.0.1,去往www.abc.com 的80 端口的TCP 协议数据包
注意:
1、--sport、--dport 必须联合-p 使用,必须指明协议类型是什么
2、条件写的越多,匹配越细致,匹配范围越小
3.4 动作(处理方式)
£ ACCEPT
£ DROP
£ SNAT
£ DNAT
£ MASQUERADE
-j ACCEPT
通过,允许数据包通过本链而不拦截它
类似Cisco 中ACL 里面的permit
例如:
iptables -A INPUT -j ACCEPT
允许所有访问本机IP 的数据包通过
3.4.2 -j DROP
-j DROP
丢弃,阻止数据包通过本链而丢弃它
类似Cisco 中ACL 里的deny
例如:
iptables -A FORWARD -s 192.168.80.39 -j DROP
阻止来源地址为192.168.80.39 的数据包通过本机
3.4.4 -j DNAT
-j DNAT --to IP[-IP][:端口-端口](nat 表的PREROUTING 链)
目的地址转换,DNAT 支持转换为单IP,也支持转换到IP 地址池
(一组连续的IP 地址)
例如:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.0.1
把从ppp0 进来的要访问TCP/80 的数据包目的地址改为192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \
-j DNAT --to 192.168.0.2:80
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.0.1-192.168.0.10
3.4.3 -j SNAT
-j SNAT --to IP[-IP][:端口-端口](nat 表的POSTROUTING 链)
源地址转换,SNAT 支持转换为单IP,也支持转换到IP 地址池
(一组连续的IP 地址)
例如:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \
-j SNAT --to 1.1.1.1
将内网192.168.0.0/24 的原地址修改为1.1.1.1,用于NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \
-j SNAT --to 1.1.1.1-1.1.1.10
同上,只不过修改成一个地址池里的IP
3.4.5 -j MASQUERADE
-j MASQUERADE
动态源地址转换(动态IP 的情况下使用)
例如:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
将源地址是192.168.0.0/24 的数据包进行地址伪装
£按包状态匹配(state)
£按来源MAC 匹配(mac)
£按包速率匹配(limit)
£多端口匹配(multiport
-m state --state 状态
状态:NEW、RELATED、ESTABLISHED、INVALID
NEW:有别于tcp 的syn
ESTABLISHED:连接态
RELATED:衍生态,与conntrack 关联(FTP)
INVALID:不能被识别属于哪个连接或没有任何状态
例如:
iptables -A INPUT -m state --state RELATED,ESTABLISHED \
-j ACCEPT
-m mac --mac-source MAC
匹配某个MAC 地址
例如:
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx \
-j DROP
阻断来自某MAC 地址的数据包,通过本机
注意:
报文经过路由后,数据包中原有的mac 信息会被替换,所以在路由
后的iptables 中使用mac 模块是没有意义的
-m limit --limit 匹配速率[--burst 缓冲数量]
用一定速率去匹配数据包
例如:
iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s \
-j ACCEPT
iptables -A FORWARD -d 192.168.0.1 -j DROP
注意:
limit 英语上看是限制的意思,但实际上只是按一定速率去匹配而
已,要想限制的话后面要再跟一条DROP
multiport
-m multiport <--sports|--dports|--ports> 端口1[,端口2,..,端口n]
一次性匹配多个端口,可以区分源端口,目的端口或不指定端口
例如:
iptables -A INPUT -p tcp -m multiport --dports \
21,22,25,80,110 -j ACCEPT
注意:
必须与-p 参数一起使用
本文转自 mailfile 51CTO博客,原文链接:http://blog.51cto.com/mailfile/1199214,如需转载请自行联系原作者
