iptables命令

 

PREROUTING   你找谁?我推荐你去找xxx
数据包进行路由决策前应用的规则，一般用于改变数据包的目标地址，不让别人知道我找的是谁

INPUT        来了老弟
数据包经过路由决策后，进入到本机处理时应用的规则，一般用于本机进程处理的数据包

OUTPUT      走了老弟
新建数据包经路由决策后，从本机输出时应用的规则，一般用于本机处理后的数据包

FORWARD    来去匆匆
数据包经过路由决策后，本机不做处理，仅仅是转发数据包时应用的规则

POSTROUTING   去哪?我给你指另一条路
数据包作从本机出去前，对数据包应用的规则，一般用于更改数据包的源地址信息，不让给别人知道我是谁

 

iptables五链的应用场景

 本机处理数据包：PREROUTING -> INPUT

本机转发数据包： PREROUTING  ->  EORWARD  ->  POSTROUTING

本机响应数据包：OUTPUT  ->  POSTROUTING

 

 

 

 

增删改查

查看信息
      -L                         列出所有链的规则，可以指定链
      -n                         将地址和端口以数字的形式展现
      -v                         显示更多信息
      --line-numbers       列出信息的时候，带编号 
      -S                         打印出所有规则

保存规则
      iptables-save > iptables_file
清除规则
      清除指定：
            iptables -D 链名 规则编号
       清除所有：
             -Z        计数器
             -X         自定义链的删除
             -F          所有链中的规则

恢复规则
      1、 iptables-restore
      2、 重启服务
更改规则
      -P   修改默认的链规则
      iptables  -P  链名  target动作
      target动作：
           ACCEPT        允许数据包通过
           DROP           禁止数据包通过
           REJECT         拒绝数据包通过

 规则实践

增加规则
     追加方式:
           iptables-A 链名[匹配条件] [参数]
           iptables -A INPUT -s 192.168.8.15 -j DROP
      插入方式：
            iptables-I 链名 规则编号[匹配条件] [参数]
            iptables -I INPUT -s 192.168.8.15 -j DROP
            iptables -I INPUT 2 -s 192.168.8.18 -j ACCEPT
删除规则
      -D 链名 编号 | 匹配条件
       iptables -D INPUT 2
       iptables -D INPUT -s 192.168.8.15 -j DROP
更改规则
      -R 链名 编号 [匹配条件] [参数]
      iptables -R INPUT 1 -s 192.168.8.15 -j DROP
      iptables -R INPUT 1 -s 192.168.8.15 -j ACCEPT

 链操作

创建自定义链    iptables -N local-test

修改自定义链名    iptables -E local-test test-local

清除自定义链      iptables -X test-local

表基础

五表简介
      作用：将不同的链组合在一起实现不同业务场景下的功能，它是由netfilter模块在内存中维护的几个空间
五表详解
      security表  mac
      filter表    数据包过滤（默认的，最重要的）
      nat表       网络地址转换
      mangle表    数据包拆修封，自定义
      raw表       特殊的nat表

表信息查看： iptables  -t  表名   -nvL

表链关系

链	表
security	input、output、forward
filter 过滤表	input、output、forward
nat 转换表	postrouting、prerouting、input、output
mangle 封装表	input、output、forward、prerouting、postrouting
raw 自定义表	postrouting、output

进阶

多目标匹配

    iptables -A  INPUT  -s  192.168.1.10,192.168.1.11  -j  REJECT

取反

     iptables -A  INPUT  !  -s  192.168.1.10  -j  REJECT      # 除了192.168.1.10，其他的源ip都接受

接口匹配

       -i   入口     INPUT、FORWARD、PREROUTING

       -o  出口     FORWARD、OUTPUT、POSTROUTING

端口匹配

      -m tcp --sport  --dport

      -m multiport  --sports  --dports  --ports

连续端口匹配

       iptables  -A  INPUT  -m  iprange  --src-range  192.168.10.14-192.168.10.20  -j  DROP