iptable更詳細的教程:http://man.chinaunix.net/network/iptables-tutorial-cn-1.1.19.html

Iptables和netfilter的關系：

這是第一個要說的地方，Iptables和netfilter的關系是一個很容易讓人搞不清的問題。很多的知道iptables卻不知道netfilter。其實iptables只是Linux防火墻的管理工具而已，位于/sbin/iptables。真正實現防火墻功能的是netfilter，它是Linux內核中實現包過濾的內部結構。
Iptables的規則表和鏈：
Iptables采用“表”和“鏈”的分層結構。在REHL4中是三張表五個鏈?，F在REHL5成了四張表五個鏈了，不過多出來的那個表用的也不太多，所以基本還是和以前一樣。下面羅列一下這四張表和五個鏈。注意一定要明白這些表和鏈的關系及作用，因為很多的人就是在這一塊不清楚。萬一不行就把它背下來在慢慢地去體會。
規則表：
1.?????? filter表——三個鏈：INPUT、FORWARD、OUTPUT
作用：過濾數據包? 內核模塊：iptables_filter.
2.?????? Nat表——三個鏈：PREROUTING、POSTROUTING、OUTPUT
作用：用于網絡地址轉換（IP、端口） 內核模塊：iptable_nat
3.?????? Mangle表——五個鏈：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用：修改數據包的服務類型、TTL、并且可以配置路由實現QOS
內核模塊：iptable_mangle
(別看這個表這么麻煩，咱們設置策略時幾乎都不會用到它)
4.?????? Raw表——兩個鏈：OUTPUT、PREROUTING
作用：決定數據包是否被狀態跟蹤機制處理? 內核模塊：iptable_raw
(這個是REHL4沒有的，不過不用怕，用的不多)
規則鏈：
1.?????? INPUT——進來的數據包應用此規則鏈中的策略
2.?????? OUTPUT——外出的數據包應用此規則鏈中的策略
3.?????? FORWARD——轉發數據包時應用此規則鏈中的策略
4.?????? PREROUTING——對數據包作路由選擇前應用此鏈中的規則
（記住！所有的數據包進來的時侯都先由這個鏈處理）
5.?????? POSTROUTING——對數據包作路由選擇后應用此鏈中的規則
（所有的數據包出來的時侯都先由這個鏈處理）
規則表之間的優先順序：
Raw——mangle——nat——filter
規則鏈之間的優先順序（分三種情況）：
第一種情況：入站數據流向
從外界到達防火墻的數據包，先被PREROUTING規則鏈處理（是否修改數據包地址等），之后會進行路由選擇（判斷該數據包應該發往何處），如果數據包的目標主機是防火墻本機（比如說Internet用戶訪問防火墻主機中的web服務器的數據包），那么內核將其傳給INPUT鏈進行處理（決定是否允許通過等），通過以后再交給系統上層的應用程序（比如Apache服務器）進行響應。
第二沖情況：轉發數據流向
來自外界的數據包到達防火墻后，首先被PREROUTING規則鏈處理，之后會進行路由選擇，如果數據包的目標地址是其它外部地址（比如局域網用戶通過網關訪問QQ站點的數據包），則內核將其傳遞給FORWARD鏈進行處理（是否轉發或攔截），然后再交給POSTROUTING規則鏈（是否修改數據包的地址等）進行處理。
第三種情況：出站數據流向
防火墻本機向外部地址發送的數據包（比如在防火墻主機中測試公網DNS服務器時），首先被OUTPUT規則鏈處理，之后進行路由選擇，然后傳遞給POSTROUTING規則鏈（是否修改數據包的地址等）進行處理。
管理和設置iptables規則
Iptables的基本語法格式：
Iptables [-t 表名] 命令選項 ［鏈名］ ［條件匹配］ ［-j 目標動作或跳轉］
說明：表名、鏈名用于指定iptables命令所操作的表和鏈，命令選項用于指定管理iptables規則的方式（比如：插入、增加、刪除、查看等；條件匹配用于指定對符合什么樣條件的數據包進行處理；目標動作或跳轉用于指定數據包的處理方式（比如允許通過、拒絕、丟棄、跳轉（Jump）給其它鏈處理。
Iptables命令的管理控制選項：
-A 在指定鏈的末尾添加（append）一條新的規則
-D刪除（delete）指定鏈中的某一條規則，可以按規則序號和內容刪除
-I在指定鏈中插入（insert）一條新的規則，默認在第一行添加
-R修改、替換（replace）指定鏈中的某一條規則，可以按規則序號和內容替換
-L列出（list）指定鏈中所有的規則進行查看
-F清空（flush）
-N新建（new-chain）一條用戶自己定義的規則鏈
-X刪除指定表中用戶自定義的規則鏈（delete-chain）
-P設置指定鏈的默認策略（policy）
-n使用數字形式（numeric）顯示輸出結果
-v查看規則表詳細信息（verbose）的信息
-V查看版本(version)
-h獲取幫助（help）
防火墻處理數據包的四種方式：
ACCEPT 允許數據包通過
DROP 直接丟棄數據包，不給任何回應信息
REJECT 拒絕數據包通過，必要時會給數據發送端一個響應的信息。
LOG在/var/log/messages文件中記錄日志信息，然后將數據包傳遞給下一條規則
Iptables防火墻規則的導入和導出：
Iptables-save??? //導出（備份）
Iptables-restore? //導入（還原）
Iptables防火墻常用的策略：
1.?????? 拒絕進入防火墻的所有ICMP協議數據包
iptables -I INPUT -p icmp -j REJECT
2.?????? 允許防火墻轉發除ICMP協議以外的所有數據包
iptables -A FORWARD -p ! icmp -j ACCEPT
說明：使用“！”可以將條件取反。
3.?????? 拒絕轉發來自192.168.1.10主機的數據，允許轉發來自192.168.0.0/24網段的數據
iptables -A FORWARD -s 192.168.1.11 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
說明：注意要把拒絕的放在前面不然就不起作用了啊。
4.?????? 丟棄從外網接口（eth1）進入防火墻本機的源地址為私網地址的數據包
iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
5.?????? 封堵網段（192.168.1.0/24），兩小時后解封。
[root@server ~]# iptables -I INPUT -s 10.20.30.0/24 -j DROP
[root@server ~]# iptables -I FORWARD -s 10.20.30.0/24 -j DROP
[root@server ~]# at now +2 hours
at> iptables -D INPUT 1
at> iptables -D FORWARD 1
說明：這個策略咱們借助crond計劃任務來完成，就再好不過了。
[1]+? Stopped???????????????? at now +2 hours
6.?????? 只允許管理員從202.13.0.0/16網段使用SSH遠程登錄防火墻主機。
iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
說明：這個用法比較適合對設備進行遠程管理時使用，比如位于分公司中的SQL服務器需要被總公司的管理員管理時。
7.?????? 允許本機開放從TCP端口20-1024提供的應用服務。
iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPT
8.?????? 允許轉發來自192.168.0.0/24局域網段的DNS解析請求數據包。
iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT
9.?????? 禁止其他主機ping防火墻主機，但是允許從防火墻上ping其他主機
iptables -A INPUT -p icmp --icmp-type Echo-Request -j DROP
iptables -A INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT
10.?? 禁止轉發來自MAC地址為00：0C：29：27：55：3F的和主機的數據包
iptables -A FORWARD -m mac --mac-source 00:0c:29:27:55:3F -j DROP
說明：iptables中使用“-m 模塊關鍵字”的形式調用顯示匹配。咱們這里用“-m mac –mac-source”來表示數據包的源MAC地址。
11.?? 允許防火墻本機對外開放TCP端口20、21、25、110以及被動模式FTP端口1250-1280
iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT
說明：這里用“-m multiport –dport”來指定目的端口及范圍
12.?? 禁止轉發源IP地址為192.168.1.20-192.168.1.99的TCP數據包。
iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP
說明：此處用“-m –iprange –src-range”指定IP范圍。
13.?? 禁止轉發與正常TCP連接無關的非—syn請求數據包。
iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP
說明：“-m state”表示數據包的連接狀態，“NEW”表示與任何連接無關的，新的嘛！
14.?? 拒絕訪問防火墻的新數據包，但允許響應連接或與已有連接相關的數據包
iptables -A INPUT -p tcp -m state --state NEW -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
說明：“ESTABLISHED”表示已經響應請求或者已經建立連接的數據包，“RELATED”表示與已建立的連接有相關性的，比如FTP數據連接等。
15.?? 只開放本機的web服務（80）、FTP(20、21、20450-20480)，放行外部主機發住服務器其它端口的應答數據包，將其他入站數據包均予以丟棄處理。
iptables -I INPUT -p tcp -m multiport --dport 20,21,80 -j ACCEPT
iptables -I INPUT -p tcp --dport 20450:20480 -j ACCEPT
iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -P INPUT DROP

總結

以上是生活随笔為你收集整理的iptable 命令的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。