Ubuntu中使用iptables

（一） 设置开机启动iptables

# sysv-rc-conf --level 2345 iptables on

（二） iptables的基本命令

1. 列出当前iptables的策略和规则

# iptables -L -n

-n： 用数字形式显示

# iptables -L -v

-v： 打印详细的信息

2. 允许已经建立的连接接收数据

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

3. 开放端口22（SSH的默认端口），您要告诉iptables允许接受到的所有目标端口为22的TCP报文通过

iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT

注：ssh代表22，可以在/etc/services中查到的服务都可以这样使用。

4. 添加策略。策略也是一种规则，当所有规则都不匹配时，使用链的“策略”

链：INPUT, PREROUTING, FORWARD, POSTROUTING, OUTPUT

链策略的默认值是：ACCEPT。

表：filter （默认），nat，mangle。

#iptables -P INPUT DROP

#iptables -P OUTPUT ACCEPT

#iptables -P FORWARD DROP

----------------------------------------------------

root@patrick:~# iptables -L -n

Chain INPUT (policy DROP)

target     prot opt source               destination

ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22

Chain FORWARD (policy DROP)

target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:22

----------------------------------------------------

5. 启动包转发功能

将内网的FTP请求转发到外网的一个主机上。

iptables -t nat -A PREROUTING -p tcp -dport 21 -j DNAT --to-dest 10.25.1.7:21

查看：

# iptables -L -t nat

要实现包转发，还需要编辑内核参数。

# cat /proc/sys/net/ipv4/ip_forward

0

默认包转发是禁止的。于是需要打开。编辑/etc/sysctl.conf，然后执行sysctl -p。

（三）保存iptables的规则

step 1） 保存当前iptables的规则到文件中。

# iptables-save > /etc/iptables.up.rules

step 2） 开机恢复iptables的规则。方法是添加下面这行到文件‘/etc/network/interfaces/’ 的末尾。

pre-up iptables-restore < /etc/iptables.up.rules

（四）禁用防火墙

iptables -F

似乎Ubuntu中没有类似service iptables stop这样的命令来暂停iptables。只能使用这种方法来禁用iptables（防火墙）。

使用前，请保证规则已经备份在文件中。