1、iptables命令

成都創(chuàng)新互聯(lián)服務項目包括余江網(wǎng)站建設、余江網(wǎng)站制作、余江網(wǎng)頁制作以及余江網(wǎng)絡營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關系等，向廣大中小型企業(yè)、政府機構等提供互聯(lián)網(wǎng)行業(yè)的解決方案，余江網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前，我們服務的客戶以成都為中心已經(jīng)輻射到余江省份的部分城市，未來相信會繼續(xù)擴大服務區(qū)域并繼續(xù)獲得客戶的支持與信任！

iptables命令是Linux上常用的防火墻軟件，是netfilter項目的一部分?？梢灾苯优渲茫部梢酝ㄟ^許多前端和圖形界面配置。

2、iptables的"四表五鏈:"

四表包括：

raw：高級功能，如：網(wǎng)址過濾。

mangle：數(shù)據(jù)包修改（QOS），用于實現(xiàn)服務質量。

net：地址轉換，用于網(wǎng)關路由器。

filter：包過濾，用于防火墻規(guī)則。

五條規(guī)則鏈名包括：（netfilter內核模塊上的五個函數(shù)）

INPUT鏈：處理輸入數(shù)據(jù)包。

OUTPUT鏈：處理輸出數(shù)據(jù)包。

PORWARD鏈：處理轉發(fā)數(shù)據(jù)包。

PREROUTING鏈：用于目標地址轉換（DNAT）。

POSTOUTING鏈：用于源地址轉換（SNAT）。

3、數(shù)據(jù)包的過濾匹配流程如下圖；

4、對數(shù)據(jù)包處理動作包括：

ACCEPT：接收數(shù)據(jù)包。

DROP：丟棄數(shù)據(jù)包。

REDIRECT：重定向、映射、透明代理。

SNAT：源地址轉換。

DNAT：目標地址轉換。

MASQUERADE：IP偽裝（NAT），用于ADSL。

LOG：日志記錄。

5、iptables語法

iptables(選項)(參數(shù))

1、查看默認規(guī)則：

iptables [-t table] [-L] [-nv]

2、查看防火墻規(guī)則：

iptables-save [-t table]

3、清除防火墻規(guī)則：

iptables [-t tables] [-FXZ]

4、定義默認規(guī)則：

iptables [-t table] -P [INPUT，OUTPUT，F(xiàn)ORWARD] [ACCEPT，DROP]

5、數(shù)據(jù)包的比對設置；

iptables [-AI 鏈名] [-io 網(wǎng)絡接口] [-p 協(xié)議] [-s 來源IP/網(wǎng)絡] [-d 目標IP/網(wǎng)絡] -j[ACCEPT|DROP|REJECT|LOG]

6、iptables的模塊(state,mac)：

iptables -A INPUT [-m state] [--state 狀態(tài)]
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j ACCEPT

7、icmp數(shù)據(jù)包規(guī)劃比對：

iptables -A INPUT [-p icmp] [--icmp-type 類型] -j ACCEPT

ICMP常見類型：

0    Echo Reply——回顯應答（Ping應答）

8    Echo request——回顯請求（Ping請求）

選項：

-t<表>：指定要操縱的表；

-A：向規(guī)則鏈中添加條目；

-D：從規(guī)則鏈中刪除條目；

-i：向規(guī)則鏈中插入條目；

-R：替換規(guī)則鏈中的條目；

-L：顯示規(guī)則鏈中已有的條目；

-F：清楚規(guī)則鏈中已有的條目；

-Z：清空規(guī)則鏈中的數(shù)據(jù)包計算器和字節(jié)計數(shù)器；

-N：創(chuàng)建新的用戶自定義規(guī)則鏈；

-P：定義規(guī)則鏈中的默認目標；

-h：顯示幫助信息；

-p：指定要匹配的數(shù)據(jù)包協(xié)議類型；

-s：指定要匹配的數(shù)據(jù)包源ip地址；

-j<目標>：指定要跳轉的目標；

-i<網(wǎng)絡接口>：指定數(shù)據(jù)包進入本機的網(wǎng)絡接口；

-o<網(wǎng)絡接口>：指定數(shù)據(jù)包要離開本機所使用的網(wǎng)絡接口。

6、一般情況下創(chuàng)建防火墻規(guī)則的順序：

1、清空防火墻規(guī)則

2、設置防火墻的默認策略

3、信任本機：（由于lo對本機來說是相當重要的，因此lo必須設置為信任設備）

4、回應數(shù)據(jù)包：（讓本機通過主動向外發(fā)出請求而響應的數(shù)據(jù)包可以進入本機(ESTABLISHED、RELATED) ）

5、添加具體的規(guī)則

7、iptables簡單查看示例：

# iptables -nL 查看防火墻設置
# iptables -t nat -nL 查看nat表
# iptables -t mangle -nL 查看mangle表
# iptables -t raw -nL 查看raw表
# iptables -t filter -P FORWARD DROP 設定FORWARD默認策略為丟棄，-t filter可省略；
# iptables -P INPUT DROP 設置INPUT默認策略;
# iptables -P OUTPUT DROP 設置OUTPUT默認策略;
# iptables -nL INPUT 查看指定某個鏈上的規(guī)則；
# iptables -nvL 查看詳細信息；
# iptables -nvxL 查看詳細信息，且顯示單位為字節(jié)；
# iptables -nvxL --line-number 顯示規(guī)則編號；
# iptables -nvvxL --line-number 顯示更詳細信息；
# iptables -nvvvxL --line-number 顯示更多更詳細信息；
# iptables -S 顯示添加的規(guī)則命令；
# iptables -S INPUT 顯示在input鏈上添加的規(guī)則命令；
# iptables -F 清空規(guī)則；

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

本文名稱：學習iptables個人總結-創(chuàng)新互聯(lián)
URL標題：http://weahome.cn/article/dceids.html