鏈?zhǔn)欠阑饓σ?guī)則或策略的集合,對于數(shù)據(jù)包進(jìn)行過濾或處理���,要把處理機(jī)制的不同�,將各種規(guī)則放入不同的“鏈”中
默認(rèn)的5種鏈如下:
INPUT:處理入站的數(shù)據(jù)包
OUTPUT:處理出站的數(shù)據(jù)包
FORWARD:處理轉(zhuǎn)發(fā)數(shù)據(jù)包
POSTROUTING:在進(jìn)行路由選擇后處理數(shù)據(jù)包
PREROUTING:在進(jìn)行路由選擇前處理數(shù)據(jù)包
表是規(guī)則鏈的集合�����,具有某一類相似作用的規(guī)則����,按不同的機(jī)制到不同的鏈之后,再被收入到不同的表中
默認(rèn)的4個(gè)表如下:
raw表:確定是否對數(shù)據(jù)包進(jìn)行狀態(tài)跟蹤
mangle表:為數(shù)據(jù)設(shè)置標(biāo)記
nat表:修改數(shù)據(jù)包中的源�、目IP或端口
filter表:過濾數(shù)據(jù)包或?qū)?shù)據(jù)包進(jìn)行相關(guān)處理
iptables的表與鏈的結(jié)構(gòu)如下
表與表之間的優(yōu)先順序
raw---> mangle-->nat--->filter
鏈之間的匹配順序
入站數(shù)據(jù):PREROUTING-->INPUT
出站數(shù)據(jù):OUTPUT--->POSTROUTING
轉(zhuǎn)發(fā)數(shù)據(jù):PRETOUTING-->FORWARD--->POSTROUTINGS
鏈內(nèi)的匹配順序
1、按順序依次檢查���,找到匹配的規(guī)則就停止檢查
2���、找不到匹配的規(guī)則,則按默認(rèn)的策略處理
數(shù)據(jù)包匹配的流程圖如下
命令語法格式
iptables [-t 表名] 選項(xiàng) [鏈名] [匹配條件] [-j 目標(biāo)動作]
注:不指定表名時(shí)默認(rèn)是filter表
不指定鏈名時(shí)默認(rèn)是表內(nèi)的所有鏈
除設(shè)置鏈的默認(rèn)策略�����,否則需要指定匹配條件
[root@host ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT
[root@host ~]# iptables -I INPUT -p udp -j ACCEPT
[root@lhost ~]# iptables -I INPUT 2 -p icmp -j ACCEPT
[root@host ~]# iptables -P INPUT DROP
[root@host ~]# iptables -L INPUT --line-numbers
Chain INPUT (policy DROP)
num target prot opt source destination
1 ACCEPT udp -- anywhere anywhere
2 ACCEPT icmp -- anywhere anywhere
3 ACCEPT tcp -- anywhere anywhere
配置匹配數(shù)據(jù)包的條件命令
協(xié)議匹配(tcp/udp/icmp)
-p 協(xié)議名
iptables -A FORWARD -p ! icmp -j ACCEPT
iptables -A FORWARD -p tcp -j ACCEPT
地址匹配
-s 源地址 -d 目標(biāo)地址
iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
iptables -A INPUT -i eth0 -s 100.0.0.100 -j ACCEPT
端口匹配
--sport 源端口 --dport 目標(biāo)端口
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20:80 -j ACCEPT
常見數(shù)據(jù)包的處理動作
ACCEPT:放行數(shù)據(jù)包
DROP:丟棄數(shù)據(jù)包
REJECT:拒絕數(shù)據(jù)包
iptables規(guī)則導(dǎo)入��、導(dǎo)出管理
導(dǎo)出:iptables-save >/etc/sysconfig/iptables
導(dǎo)入:iptables-restore
重慶分公司
重慶分公司
