iptables-save命令

[root@localhost ~]# iptables-save -t filter > iptables.bak

[root@localhost ~]# cat iptables.bak

# Generated by iptables-save v1.3.5 on Thu Dec 26 21:25:15 2013

*filter :

INPUT DROP [48113:2690676] :

FORWARD accept [0:0] :

OUTPUT ACCEPT [3381959:1818595115]

-A INPUT -I lo -j ACCEPT

-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -j ACCEPT -A OUTPUT -o lo -j

ACCEPT COMMIT

 

NAT (网络地址转换) 技术在平时是很多见的，如家庭中在使用路由器共享上网时，一般用的就是 NAT 技术，它可以实现众多内网 IP 共享一个公网 IP 上网。NAT 的原理 简单的说就是当内网主机访问外网时，当内网主机的数据包要通过路由器时，路由器将数据包中的源内网 IP 地址改为路由器上的公网 IP 地址，同时记录下该数据包的消息；当外网服务器响应这次由内而外发出的请求或数据交换时，当外网服务器发出的数据包经过路由器时，原本是路由器上的公网 IP 地址被路由器改为内网 IP 。

 

SNAT 和 DNAT 是 iptables 中使用 NAT 规则相关的的两个重要概念。如上图所示，如果内网主机访问外网而经过路由时，源 IP 会发生改变，这种变更行为就是 SNAT；反之，当外网的数据经过路由发往内网主机时，数据包中的目的 IP (路由器上的公网 IP) 将修改为内网 IP，这种变更行为就是 DNAT 。

与 SNAT 和 DNAT所对应的两个链分别是  POSTROUTING和PREROUTING  。

 

 

说明：（个人理解）prerouting  和postrouting指的是数据包的流向，如上图所示postrouting一般指的是发往公网的数据包；prerouting一般指来自公网的数据包！

 

 

 

落实到网卡上，对于每个网卡数据流入的时候必然经过pre，数量流出必然经过post

 

 

PREROUTING是目的地址转换，要把别人的公网IP换成你们内部的IP，才让访问到你们内部受防火墙保护的机器

PREROUTING
当外网的数据包进入到内网时，我们需要修改数据包中的公网 IP 为内网的主机 IP，这种 DNAT 的行为规则就要在 PREROUTING 链里添加。

POSTROUTING
和 PREROUTING 不同，在执行 SNAT 任务时的行为规则就添加在 POSTROUTING 链中。

[root@localhost ~]# iptables-save -t filter > iptables.bak [root@localhost ~]# cat iptables.bak # Generated by iptables-save v1.3.5 on Thu Dec 26 21:25:15 2013 *filter :INPUT DROP [48113:2690676] :FORWARD accept [0:0] :OUTPUT ACCEPT [3381959:1818595115] -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A OUTPUT -o lo -j ACCEPT COMMIT

来自: http://man.linuxde.net/iptables-save

iptables-save(选项)

来自: http://man.linuxde.net/iptables-save

iptables-save(选项)

来自: http://man.linuxde.net/iptables-save