iptables简单了解

简介

　　Iptables是unix/linux自带的一款优秀且开源的基于包过滤的防火墙工具。

怎么用

　　可以用来做主机防火墙。

　　可以做局域网共享上网。

　　可以做ip及端口映射。

Iptables工作流程

　　iptables分为4表5链

　　表：

　　　　filter：INPUT,OUTPUT,FORWARD

　　　　NAT:POSTROUTING,PREROUTING,OUTPUT

　　　　mangle：INPUT,OUTPUT,FORWARD,POSTROUTING,PREROUTING

　　　　raw：PREROUTING，OUTPUT

　　链：

　　　　INPUT：进入主机的数据包。

　　　　OUTPUT： 流出主机的数据包。

　　　　FORWARD： 流经主机的数据包。

　　　　PREROUTING: 进入服务器最先经过的链，用来做NAT端口或ip映射

　　　　POSTROUTING： 流出服务器最后经过的链，NAT共享上网。 局域网共享上网。

4个表:filter,nat,mangle,raw，默认表是filter（没有指定表的时候就是filter表）。表的处理优先级：raw>mangle>nat>filter。

filter：一般的过滤功能

nat:用于nat功能（端口映射，地址映射等）

mangle:用于对特定数据包的修改

raw:优限级最高，设置raw时一般是为了不再让iptables做数据包的链接跟踪处理，提高性能

RAW 表只使用在PREROUTING链和OUTPUT链上,因为优先级最高，从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链 上,RAW表处理完后,将跳过NAT表和 ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了.

RAW表可以应用在那些不需要做nat的情况下，以提高性能。如大量访问的web服务器，可以让80端口不再让iptables做数据包的链接跟踪处理，以提高用户的访问速度。

iptables命令

[root@linux ~]# iptables -A INPUT -p tcp -m tcp --dport  -j ACCEPT  #添加filter表,开放21端口  

[root@linux ~]# iptables -t nat -A POSTROUTING -s 192.168.10.0/ -j MASQUERADE     #添加nat表，将源地址是 192.168.10.0/ 的数据包进行地址伪装

[root@linux ~]# iptables -I INPUT  -p tcp -m tcp --dport  -j ACCEPT  #添加filter表，开放20端口，并且插入到指定位置

[root@linux ~]# iptables -L -n --line-number
Chain INPUT (policy DROP)
num  target     prot opt source               destination
    ACCEPT     all  --  0.0.0.0/            0.0.0.0/
    DROP       icmp --  0.0.0.0/            0.0.0.0/           icmp type
    ACCEPT     tcp  --  0.0.0.0/            0.0.0.0/           tcp dpt:                #-I指定位置插的
    ACCEPT     tcp  --  0.0.0.0/            0.0.0.0/           tcp dpt:
    ACCEPT     tcp  --  0.0.0.0/            0.0.0.0/           tcp dpt:
    ACCEPT     all  --  0.0.0.0/            0.0.0.0/           state RELATED,ESTABLISHED
    DROP       all  --  0.0.0.0/            0.0.0.0/           state INVALID,NEW
    ACCEPT     tcp  --  0.0.0.0/            0.0.0.0/           tcp dpt:                #-A默认插到最后

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

[root@linux ~]# iptables -L -n --line-number |grep     #查看filter表，--line-number可以显示规则序号，在删除的时候比较方便

[root@linux ~]# iptables -t nat -vnL POSTROUTING --line-number    #查看nat表
Chain POSTROUTING (policy ACCEPT  packets,  bytes)
num   pkts bytes target     prot opt in     out     source               destination
              MASQUERADE  all  --  *      *       192.168.10.0/      0.0.0.0/  

[root@linux ~]# iptables -R INPUT  -j DROP    #将规则3改成DROP  

[root@linux ~]# iptables -D INPUT   #删除input的第3条规则

[root@linux ~]# iptables -t nat -D POSTROUTING   #删除nat表中postrouting的第一条规则

[root@linux ~]# iptables -F INPUT   #清空 filter表INPUT所有规则

[root@linux ~]# iptables -F    #清空所有规则

[root@linux ~]# iptables -t nat -F POSTROUTING   #清空nat表POSTROUTING所有规则

[root@linux ~]# iptables -P INPUT DROP  #设置filter表INPUT默认规则是 DROP  

把所有通过eth0这个网卡发往地址122.225.97.111的包都转发到局域网的中192.168.1.130这台机器上.它也可以配全--string功能更强大
[root@linux ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp\
--dst 122.225.97.111 --dport  -j DNAT --to-destination 192.168.1.130:

将匹配到img.51yip.com的请求转到局域网的192.168.1.136这台机器上
[root@linux ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport \
-m string --string "img.51yip.com" --algo bm -j DNAT --to-destination 192.168.1.136:

snat可以让本地ip地址伪装成其他机器的ip地址,或者是公网IP,假如我有三台机器,一台能上外网,另外二台却不可以.不能上网的机器可以伪装成可上网的那机器的IP
[root@linux ~]# iptables -t nat -I POSTROUTING  -j SNAT -s 192.168.10.0/ --to-destination 192.168.1.108