iptables的详细中文手册

iptables 指令语法iptables [-t table] command [match] [-j target/jump][-t table] 指定规则表-t 参数用来，内建的规则表有三个，分别是：nat、mangle 和filter，当未指定规则表时，则一律视为是filter。

个规则表的功能如下：nat：此规则表拥有PREROUTING 和POSTROUTING 两个规则链，主要功能为进行一对一、一对多、多对多等网址转换工作（SNAT、DNAT），这个规则表除了作网址转换外，请不要做其它用途。

mangle：此规则表拥有PREROUTING、FORWARD 和POSTROUTING 三个规则链。

除了进行网址转换工作会改写封包外，在某些特殊应用可能也必须去改写封包（TTL、TOS）或者是设定MARK（将封包作记号，以进行后续的过滤），这时就必须将这些工作定义在mangle 规则表中，由于使用率不高，我们不打算在这里讨论mangle 的用法。

filter：这个规则表是默认规则表，拥有INPUT、FORWARD 和OUTPUT 三个规则链，这个规则表顾名思义是用来进行封包过滤的处理动作（例如：DROP、LOG、ACCEPT 或REJECT），我们会将基本规则都建立在此规则表中。

command 常用命令列表：命令-A, --append范例iptables -A INPUT ...说明新增规则到某个规则链中，该规则将会成为规则链中的最后一条规则。

命令-D, --delete范例iptables -D INPUT --dport 80 -j DROPiptables -D INPUT 1说明从某个规则链中删除一条规则，可以输入完整规则，或直接指定规则编号加以删除。

命令-R, --replace范例iptables -R INPUT 1 -s 192.168.0.1 -j DROP说明取代现行规则，规则被取代后并不会改变顺序。

1iptables与firewalld的关系RHEL7.0以后，使用firewalld服务取代了iptables服务，但是依然可以使用iptables服务，只是默认不开启了，iptables和firewalld都不是真正的防火墙，它们都只是用来定义防火墙策略的防火墙管理工具，是操作系统上的一种服务，将定义好的规则交给内核中的netfilter（网络过滤器）来读取，从而实现防火墙的功能，firewalld和iptables除了可以可以在inbond和outbond方向做策略限制以外，还能实现snat和dnat功能。

注意：firewalld和iptables同时只能运行一种服务，否则会出现不可预知的情况2iptables安装RHEL7.0以后，iptables默认不开启，需要安装iptables服务安装完成后3实验场景3.1源地址转换需求：源地址1（172.16.202.15）需要访问公网目的地址（192.168.111.245），源地址2（172.16.202.16）不需要访问公网。

内网两台服务器，分别为源地址1（172.16.202.15）和源地址2（172.16.202.16），公网出口处有一台centos 7.1的双网卡服务器，一个接口接内网（172.16.202.14），一个接口接外网（192.168.111.63）。

源地址1上首先需要保证和iptables服务器能够互通，并且有去往192.168.111.245的路由，路由下一跳需要指向iptables内网接口（172.16.202.14），由iptables服务器做源nat，把源地址（172.16.202.15）nat成公网接口地址（192.168.111.63），从而可以访问目的地址（192.168.111.245）。

一、首先在源地址1服务器上配置去往192.168.111.245的路由ip route add 192.168.111.245 via 172.16.202.14 //临时添加路由，重启网卡或者系统后，路由会丢失，建议做路由固化路由固化：在/etc/sysconfig/network-scripts目录下，新建一个route配置文件，vi route-eth0，新增一条路由，192.168.111.245/32 via 172.16.202.14，重启网卡即可生效二、iptables服务器上，配置snat策略iptables -t nat -A POSTROUTING -s 172.16.202.15/32 -d 192.168.111.245/32 -j SNAT --to 192.168.111.63注释：-t table table to manipulate (default: `filter') //这个选项指定命令要操作的匹配包的表。

iptables的用法iptables是Linux系统中防火墙工具，用于配置、管理和过滤网络流量。

它可以用于设置各种规则，以控制网络传输，过滤入站和出站流量，并允许或拒绝特定的网络连接。

以下是iptables的常见用法：1. 查看当前的iptables规则：```iptables -L```2. 清除当前的iptables规则：```iptables -F```3. 允许特定IP地址的访问：```iptables -A INPUT -s <IP_ADDRESS> -j ACCEPT```4. 禁止特定IP地址的访问：```iptables -A INPUT -s <IP_ADDRESS> -j DROP```5. 允许特定端口的访问：```iptables -A INPUT -p tcp --dport <PORT_NUMBER> -j ACCEPT```6. 允许特定协议的访问：```iptables -A INPUT -p <PROTOCOL> -j ACCEPT```7. 配置端口转发：```iptables -t nat -A PREROUTING -p tcp --dport <SOURCE_PORT> -j DNAT --to-destination<DESTINATION_IP>:<DESTINATION_PORT>```8. 配置端口映射：```iptables -t nat -A POSTROUTING -p tcp -d <DESTINATION_IP> --dport<DESTINATION_PORT> -j SNAT --to-source <SOURCE_IP>```以上只是iptables的一些常见用法，它还提供了更多高级功能和选项，可以根据具体需求进行配置和使用。

iptables四表五链⼀、什么是iptables iptables是Linux的防⽕墙管理⼯具⽽已，真正实现防⽕墙功能的是Netfilter，我们配置了iptables规则后Netfilter通过这些规则来进⾏防⽕墙过滤等操作 Netfilter模块： 它是主要的⼯作模块，位于内核中，在⽹络层的五个位置（也就是防⽕墙四表五链中的五链）注册了⼀些钩⼦函数，⽤来抓取数据包；把数据包的信息拿出来匹配各个各个链位置在对应表中的规则：匹配之后，进⾏相应的处理ACCEPT、DROP等等。

下⾯这张图很明了的说明了Netfilter和iptables之间的关系⼆、四表五链(重要) 四表五链： 链就是位置：共有五个进路由(PREROUTING)、进系统(INPUT) 、转发(FORWARD)、出系统(OUTPUT)、出路由(POSTROUTING)； 表就是存储的规则；数据包到了该链处，会去对应表中查询设置的规则，然后决定是否放⾏、丢弃、转发还是修改等等操作。

2.1. 具体的四表filter表——过滤数据包Nat表——⽤于⽹络地址转换（IP、端⼝）Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOSRaw表——决定数据包是否被状态跟踪机制处理2.2. 具体的五链INPUT链——进来的数据包应⽤此规则链中的策略OUTPUT链——外出的数据包应⽤此规则链中的策略FORWARD链——转发数据包时应⽤此规则链中的策略PREROUTING链——对数据包作路由选择前应⽤此链中的规则（所有的数据包进来的时侯都先由这个链处理）POSTROUTING链——对数据包作路由选择后应⽤此链中的规则（所有的数据包出来的时侯都先由这个链处理）2.3. 四表五链之间的关系三、iptables语法参数3.1.iptables语法格式iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]3.2.iptables常⽤参数-P 设置默认策略:iptables-P INPUT (DROP|ACCEPT)-F 清空规则链-L 查看规则链-A 在规则链的末尾加⼊新规则-I num 在规则链的头部加⼊新规则-D num 删除某⼀条规则-s 匹配来源地址IP/MASK，加叹号"!"表⽰除这个IP外。

openwrt iptables参数OpenWrt是一个基于Linux的网络操作系统，广泛应用于路由器、智能家居等领域。

在OpenWrt中，iptables是负责实现防火墙功能的重要工具。

本文将详细介绍OpenWrt中的iptables配置及相关参数，帮助大家更好地理解和使用这一功能。

2.iptables基本概念iptables是Linux系统下的一个防火墙工具，可以实现对网络流量的控制和管理。

其主要功能包括：过滤进出的数据包、限制端口访问、防止DDoS攻击等。

在OpenWrt中，iptables同样发挥着关键作用，为用户提供了强大的网络安全防护。

3.OpenWrt中的iptables配置OpenWrt中的iptables配置主要分为以下几个部分：- 创建链：使用`iptables -t nat -N <链名>`命令创建新的链。

- 定义规则：使用`iptables -t nat -A <链名> -<动作> <参数>`命令添加规则。

- 删除规则：使用`iptables -t nat -D <链名> <序号> -<动作> <参数>`命令删除规则。

- 保存配置：使用`iptables-save`命令将当前iptables配置保存到文件。

- 加载配置：使用`iptables-restore`命令从文件中加载iptables配置。

4.常用iptables命令详解以下是一些常用的iptables命令及其参数：- 添加过滤规则：`iptables -A INPUT -p tcp -j DROP`，用于阻止特定协议的数据包。

- 添加nat规则：`iptables -A POSTROUTING -o <接口> -j MASQUERADE`，实现端口映射。

- 删除所有链中的规则：`iptables -t nat -F`- 删除指定链的所有规则：`iptables -t nat -F <链名>`- 查看iptables配置：`iptables -t nat -L`5.实战案例：防火墙配置以下是一个简单的防火墙配置示例：```iptables -A INPUT -p tcp -j DROPiptables -A INPUT -p udp -j DROPiptables -A OUTPUT -p tcp -j MASQUERADEiptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE```此配置将阻止所有进入的TCP和UDP数据包，同时允许出去的TCP数据包通过，并对内网进行端口映射。

Linux系统iptables查看、设置、保存、备份和恢复不同linux系统，相关软件是否安装，会让iptables的某些命令不能执⾏，这⾥收集了⼤多数iptables命令，不管是Ubuntu还是Centos，都能找到相关的修改、查询、保存命令。

仅允许某些IP访问指定端⼝：先禁⽤端⼝访问：iptables -I INPUT -p tcp --dport 8000 -j DROP允许特定IP访问：iptables -I INPUT -s IP地址/32 -p tcp --dport 8000 -j ACCEPTwhat is iptables？Iptables is used to set up, maintain, and inspect the tables of IPv4 packet filter rules in the Linux kernel. Several different tables may be defined. Each table contains a number of built-in chains and may also contain user-defined chains.以上是itables man⼿册上的说明。

iptables包含4个表：f ilter，nat，mangle，raw。

我们最常⽤的就是filter这个表。

filte表有三个内建的chain：INPUT、OUTPUT和FORWORD。

INPUT：⽤来处理发给本机的数据包；如主机A发给本机的数据，数据通信路径会像这：主机A------>本机localhostOUTPUT：⽤来处理本机发送出去的数据包；如本机访问百度服务器，数据通信路径会像这样，如本机localhost------>百度服务器FORWORD：⽤来处理流经本机，但⼜不是发给本机的数据包；如主机A要给主机B发送数据包，经过了本机，路径会像这样：主机A--->本机localhost--->主机B。

Linux下iptables超详细教程和使⽤⽰例iptables的结构：iptables由上⽽下，由Tables，Chains，Rules组成。

⼀、iptables的表tables与链chainsiptables有Filter, NAT, Mangle, Raw四种内建表：1. Filter表Filter是iptables的默认表，它有以下三种内建链(chains)：INPUT链 – 处理来⾃外部的数据。

OUTPUT链 – 处理向外发送的数据。

FORWARD链 – 将数据转发到本机的其他⽹卡设备上。

2. NAT表NAT表有三种内建链：PREROUTING链 – 处理刚到达本机并在路由转发前的数据包。

它会转换数据包中的⽬标IP地址（destination ip address），通常⽤于DNAT(destination NAT)。

POSTROUTING链 – 处理即将离开本机的数据包。

它会转换数据包中的源IP地址（source ip address），通常⽤于SNAT（source NAT）。

OUTPUT链 – 处理本机产⽣的数据包。

3. Mangle表Mangle表⽤于指定如何处理数据包。

它能改变TCP头中的QoS位。

Mangle表具有5个内建链（chains）：PREROUTINGOUTPUTFORWARDINPUTPOSTROUTING4. Raw表Raw表⽤于处理异常，它具有2个内建链：PREROUTING chainOUTPUT chain5.⼩结⼆、IPTABLES 规则(Rules)规则的关键知识点：Rules包括⼀个条件和⼀个⽬标(target)如果满⾜条件，就执⾏⽬标(target)中的规则或者特定值。

如果不满⾜条件，就判断下⼀条Rules。

⽬标值（Target Values）在target⾥指定的特殊值：ACCEPT – 允许防⽕墙接收数据包DROP – 防⽕墙丢弃包QUEUE – 防⽕墙将数据包移交到⽤户空间RETURN – 防⽕墙停⽌执⾏当前链中的后续Rules，并返回到调⽤链(the calling chain)中。

iptables命令、规则、参数详解表 (table)包含4个表：4个表的优先级由高到低：raw-->mangle-->nat-->filterraw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高，从而可以对收到的数据包在连接跟踪前进行处理。

一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了.filter---这个规则表是预设规则表，拥有INPUT、FORWARD 和OUTPUT 三个规则链，这个规则表顾名思义是用来进行封包过滤的理动作net----此规则表拥有prerouting和postrouting两个规则链，主要功能为进行一对一、一对多、多对多等网址转译工作（SNATDNAT）mangle--此规则表拥有prerouting、FORWARD、postrouting 三个规则链，除了进行网址转译工作会改写封包外，在某些特殊应用可能也必须去改写封包(ITL、TOS)或者是设定MARK(将封包作记号，以进行后续的过滤)这时就必须将这些工作定义在mangles规则表中常用命令：-A 追加规则-->iptables -A INPUT-D 删除规则-->iptables -D INPUT 1(编号)-R 修改规则-->iptables -R INPUT 1 -s 192.168.12.0 -j DROP 取代现行规则，顺序不变(1是位置)-I 插入规则-->iptables -I INPUT 1 --dport 80 -j ACCEPT 插入一条规则，原本位置上的规则将会往后移动一个顺位-L 查看规则-->iptables -L INPUT 列出规则链中的所有规则-N 新的规则-->iptables -N allowed 定义新的规则通用参数：-p 协议例：iptables -A INPUT -p tcp-s源地址例：iptables -A INPUT -s 192.168.1.1-d目的地址例：iptables -A INPUT -d 192.168.12.1-sport源端口例:iptables -A INPUT -p tcp --sport 22-dport目的端口例:iptables -A INPUT -p tcp --dport 22-i指定入口网卡例:iptables -A INPUT -i eth0-o指定出口网卡例:iptables -A FORWARD -o eth0-j 指定要进行的处理动作常用的ACTION：DROP：丢弃REJECT：明示拒绝ACCEPT：接受SNAT基于原地址的转换source--指定原地址比如我们现在要将所有192.168.10.0网段的IP在经过的时候全都转换成172.16.100.1这个假设出来的外网地址：iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.1(外网有效ip)这样，只要是来自本地网络的试图通过网卡访问网络的，都会被统统转换成172.16.100.1这个IP.MASQUERADE(动态伪装）--家用带宽获取的外网ip，就是用到了动态伪装iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADEDNAT目标地址转换destination-指定目标地址iptables -t nat -A PREROUTING -d 192.168.10.18 -p tcp --dport 80 -j DNAT --to-destination 172.16.100.210.18访问80端口转换到100.2上MASQUERADE：源地址伪装REDIRECT：重定向：主要用于实现端口重定向MARK：打防火墙标记的RETURN：返回在自定义链执行完毕后使用返回，来返回原规则链。

1.iptables规则详解1.什么是防⽕墙，防⽕墙的种类有哪些防⽕墙：古⼈⽤来隔绝失⽕后的⾼墙，阻挡外来的⽕势，起到了隔离的⼿段。

在互联⽹上，我们会采⽤类似于防⽕墙的⽅法，来保护我们的⽹络不受外来攻击，为此我们需要设定⼀些防⽕墙的规则，确定哪些数据允许通过，哪些不能通过，具有这种功能的设备或软件，我们将其称为防⽕墙防⽕墙的种类：逻辑层⾯：主机防⽕墙：针对单个主机进⾏防护，例如Windows防⽕墙⼀般是软件⽹络防⽕墙：处于⽹路⼊⼝的边缘，针对⽹络⼊⼝进⾏防护⼀般是硬件，也可以⽤软件物理层⾯：硬件防⽕墙：⼀个实体的硬件，嵌⼊软件，实现防⽕墙的功能，性能⾼，成本⾼软件防⽕墙：通过软件的⽅式，模拟防⽕墙的功能，运⾏在操作系统上⾯，性能低，成本低2.iptables介绍1.什么是iptables？iptables可以理解为是⼀个代理程序，⽤户通过代理程序，将安全规则添加到安全框架中 net filter（内核空间）netfilter/iptables 是Linux中的包过滤型防⽕墙，是免费的，可以代替昂贵的商业防⽕墙解决⽅案，可以实现数据包的过滤，实现数据包的转换。

2.什么是包过滤防⽕墙？包过滤型防⽕墙在我们⽹络层拦截⽹络数据包的包头（header），可以针对数据包的包头，与我们事先准备好的防⽕墙规则进⾏⽐对，与规则相匹配的包放⾏，不匹配的包丢弃或者执⾏⼀些复杂的动作，包过滤型防⽕墙⼀般作⽤在我们的⽹络层，故通常header中带有客户端来源IP，源端⼝，⽬标IP，⽬标端⼝，协议类型：tcp udp icmp，根据这些状态信息来判断，是否符合我们的IP tables的过滤规则，符合通过，不然拒绝。

3.包过滤型防⽕墙是怎么实现的？是基于net filter安全框架实现的，是内核的⼀部分，如果我们想要让防⽕墙达到防⽕的⽬的，需要我们在内核中，设定⼀些关卡，所有进出的报⽂，根据设定的这些关卡进⾏检查，将符合条件的放⾏，不符合的阻⽌，在net filter中，这些关卡就是链3.iptables链的概念1.什么是链？防⽕墙的作⽤就是在于将经过的报⽂与设定的规则进⾏⽐对，然后执⾏响应的动作，报⽂经过链时，必须匹配链的规则，在链上不⽌⼀条规则，存在着很多规则，当我们将这些规则穿在⼀起的时候就形成了链链的匹配规则，如下图所⽰，当有报⽂经过时，会以此往下匹配规则，如果匹配成功，则执⾏相对于的动作，如果匹配不成功，就以此往下匹配，直到最后⼀条规则还是没有匹配成功，会执⾏链的默认规则。

iptables放行某端口规则一、引言iptables是Linux系统中的一个重要的网络防火墙工具，它可以对网络数据包进行过滤、转发和修改等操作。

本文将介绍如何使用iptables放行某端口。

二、iptables基础知识1. iptables命令格式iptables命令的基本格式为：iptables [-t 表名] 命令 [链名] [规则参数]其中，-t表示表名，命令表示需要执行的操作，链名表示需要操作的链，规则参数表示具体的规则设置。

2. iptables表和链iptables中有4个表：filter、nat、mangle和raw。

每个表都有自己的默认链（INPUT、OUTPUT、FORWARD），也可以创建自定义链。

filter表主要用于过滤数据包；nat表主要用于网络地址转换；mangle 表主要用于修改数据包头部信息；raw表主要用于处理特殊类型的数据包。

3. iptables规则每个iptables规则由以下几个部分组成：匹配条件：指定需要匹配哪些数据包；动作：对匹配到的数据包执行何种动作；计数器：记录匹配到该规则的数据包数量。

4. iptables动作iptables支持多种动作，常见的有ACCEPT（接收）、DROP（丢弃）、REJECT（拒绝）等。

三、放行某端口规则实现步骤1. 确认iptables是否已安装在终端中输入以下命令，如果输出类似于“iptables: command not found”的信息，则说明iptables未安装。

```iptables -V```2. 创建新链为了方便管理，我们可以创建一个新的链来存放放行某端口的规则。

在终端中输入以下命令：```iptables -N NEWCHAIN其中，NEWCHAIN为新建的链名。

3. 添加规则在新建的链中添加放行某端口的规则。

假设需要放行80端口，则可以使用以下命令：```iptables -A NEWCHAIN -p tcp --dport 80 -j ACCEPT```其中，-A表示在指定链末尾添加规则；-p表示协议类型（tcp/udp）；--dport表示目标端口；-j表示动作（接收）。

linux防⽕墙iptables参数详解先来看iptables 防⽕墙的⼀些常⽤设置:1. iptables-A INPUT -p tcp -s x.x.x.x/x --dport 22 -j ACCEPT //　允许源地址为x.x.x.x/x的主机通过22(ssh)端⼝.2. iptables -A INPUT -p tcp --dport 80 -j ACCEPT //　允许80(http)端⼝的数据包进⼊3. iptables -A INPUT -p tcp --dport 110 -j ACCEPT //　允许110(pop3)端⼝的数据包进⼊如果不加这规则，就只能通过web页⾯来收信(⽆法⽤OE或Foxmail等来收)4. iptables -A INPUT -p tcp --dport 25 -j ACCEPT //　允许25(smtp)端⼝的数据包进⼊,如果不加这规则，就只能通过web页⾯来发信(⽆法⽤OE或Foxmail等来发)5. iptables -A INPUT -p tcp --dport 21 -j ACCEPT //　允许21(ftp)端⼝的数据包进⼊(传数据)6. iptables -A INPUT -p tcp --dport 20 -j ACCEPT //　允许20(ftp)端⼝的数据包进⼊(执⾏ftp命令,如dir等)7. iptables -A INPUT -p tcp --dport 53 -j ACCEPT //　允许53(dns)端⼝的数据包进⼊(tcp)8. iptables -A INPUT -p udp --dport 53 -j ACCEPT //　允许53(dns)端⼝的数据包进⼊(udp)9. iptables -A INPUT -p icmp -j ACCEPT //　允许ICMP包通过10. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT //利⽤ iptables 对连接状态的⽀持11. iptables -P INPUT DROP//把INPUT链的默认规则设置为DROPIptalbes 防⽕墙主要参数和设置说明:TARGETS防⽕墙的规则指定所检查包的特征，和⽬标。

1.问：如何查看帮助文档？答：执行sh iptables_dscp.sh -h2.问：如何打标？答：比如针对tcp协议，目的端口是22的数据包打上dscp标签0x2A.# sh iptables_dscp.sh -p tcp -r 22 0x2ASet dscp value with command:iptables -A POSTROUTING -t mangle -p tcp --dport 22 -j DSCP --set-dscp 0x2A3.问：如何查看第二条中所设置的规则。

答：执行iptables命令：# iptables -S POSTROUTING -t mangle(第二条)-P POSTROUTING ACCEPT-A POSTROUTING -p tcp -m tcp --dport 22 -j DSCP --set-dscp 0x2a4.问：如果设置错了，如何删除规则？答：比如删除第二步中所设置的规则。

第一种方法使用iptables命令只删除一条规则。

# iptables -D POSTROUTING -t mangle -p tcp --dport 22 -j DSCP --set-dscp 0x2A第二种方法使用iptables命令删除所有规则。

# iptables -F -t mangle5问：执行下面的命令，出现错误是什么意思。

# sh iptables_dscp.sh -l 22 -r 4444 0x21Error: Protocol is not set, but you are using local_port/remote_port!答：如果设置本地端口或者目的端口，则必须设置协议类型。

因为不是所有的协议都有源端口和目的端口的。

比如icmp协议。

修正方法是添加-p参数。

6.问：执行下面的命令，出现错误是什么意思。

# sh iptables_dscp.sh -p tcp -l 22 -r 4444 -v 0x21Error: '-v' is used with DSCP_Value setting!答：命令行中指定了-v参数来检查源端口是22 ，目的端口是4444的tcp流是否已经成功设置dscp值了。

∙数据包经过防火墙的路径∙禁止端口∙强制访问某站点∙发布内部网络服务器∙智能DNS∙端口映射∙通过NAT上网∙IP规则的保存与恢复∙iptables指令语法∙iptables实例数据包经过防火墙的路径图1比较完整地展示了一个数据包是如何经过防火墙的，考虑到节省空间，该图实际上包了三种情况：来自外部，以防火墙（本机）为目的地的包，在图1中自上至下走左边一条路径。

由防火墙（本机）产生的包，在图1中从“本地进程”开始，自上至下走左边一条路径来自外部，目的地是其它主机的包，在图1中自上至下走右边一条路径。

图1如果我们从上图中略去比较少用的mangle表的图示,就有图2所显示的更为清晰的路径图.图2禁止端口的实例禁止ssh端口只允许在192.168.62.1上使用ssh远程登录，从其它计算机上禁止使用ssh #iptables -A INPUT -s 192.168.62.1 -p tcp --dport 22 -j ACCEPT#iptables -A INPUT -p tcp --dport 22 -j DROP∙禁止代理端口#iptables -A INPUT -p tcp --dport 3128 -j REJECT∙禁止icmp端口除192.168.62.1外，禁止其它人ping我的主机#iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp --icmp-type echo-request -j ACCEPT#iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request –j ?DROP或#iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT#iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP注：可以用iptables --protocol icmp --help查看ICMP类型还有没有其它办法实现?∙禁止QQ端口#iptables -D FORWARD -p udp --dport 8000 -j REJECT强制访问指定的站点图3要使192.168.52.0/24网络内的计算机(这此计算机的网关应设为192.168.52.10)强制访问指定的站点,在做为防火墙的计算机(192.168.52.10)上应添加以下规则:1. 打开ip包转发功能echo 1 > /proc/sys/net/ipv4/ip_forward2. 在NAT/防火墙计算机上的NAT表中添加目的地址转换规则:iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT--to-destination 202.96.134.130:80iptables -t nat -I PREROUTING -i eth0 -p udp --dport 80 -j DNAT--to-destination 202.96.134.130:803. 在NAT/防火墙计算机上的NAT表中添加源地址转换规则:iptables -t nat -I POSTROUTING -o eth1 -p tcp --dport 80 -s 192.168.52.0/24 -j SNAT --to-source 202.96.134.10:20000-30000iptables -t nat -I POSTROUTING -o eth1 -p udp --dport 80 -s 192.168.52.0/24 -j SNAT --to-source 202.96.134.10:20000-300004. 测试:在内部网的任一台计算机上打开浏览器,输入任一非本网络的IP,都将指向IP为202.96.134.130的网站.发布内部网络服务器图4要使因特网上的计算机访问到内部网的FTP服务器、WEB服务器,在做为防火墙的计算机上应添加以下规则:1. echo 1 > /proc/sys/net/ipv4/ip_forward2. 发布内部网web服务器iptables -t nat -I PREROUTING -p tcp -i eth1 -s 202.96.134.0/24 --dport 80 -j DNAT --to-destination 192.168.52.15:80iptables -t nat -I POSTROUTING -p tcp -i eth0 -s 192.168.52.15 --sport 80 -j SNAT --to-source 202.96.134.10:20000-300003. 发布内部网ftp服务器iptables -t nat -I PREROUTING -p tcp -i eth1 -s 202.96.134.0/24 --dport21 -j DNAT --to-destination 192.168.52.14:21iptables -t nat -I POSTROUTING -p tcp -i eth0 -s 192.168.52.14 --sport 21 -j SNAT --to-source 202.96.134.10:40000-500004. 注意:内部网的计算机网关要设置为防火墙的ip(192.168.52.1)5. 测试: 用一台IP地址为202.96.134.0段的计算机虚拟因特网访问,当在其浏览器中访问http://202.96.134.10时,实际应看到的是192.168.52.15的的web 服务;当访问ftp://202.96.134.10时,实际应看到的是192.168.52.14上的的ftp服务智能DNS图51. echo 1 > /proc/sys/net/ipv4/ip_forward2. 在NAT服务器上添加以下规则:在PREROUTING链中添加目的地址转换规则:iptables -t nat -I PREROUTING -i eth0 -p tcp --dpor 53 -j DNAT--to-destination 202.96.134.130iptables -t nat -I PREROUTING -i eth0 -p udp --dpor 53 -j DNAT--to-destination 202.96.134.130在POSTROUTING链中添加源地址转换规则:iptables -t nat -I POSTROUTING -o eth1 -s 192.168.52.0/24 -p tcp --dpor 53 -j SNAT --to-source 202.96.134.10:40000-50000iptables -t nat -I POSTROUTING -o eth1 -s 192.168.52.0/24 -p udp --dpor 53 -j SNAT --to-source 202.96.134.10:40000-500003. 测试在内部网任一台计算机上,将DNS设置为任意的外网IP,就可以使用DNS测试工具如nslookup来解析DNS服务器202.96.134.130上的名称.端口映射见上节透明代理设置#iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.62.0/24 --dport 80 -j REDIRECT --to-ports 3128通过NAT上网典型NAT上网一般做为NAT的计算机同时也是局域网的网关，假定该机有两块网卡eth0、eth1，eth0连接外网，IP为202.96.134.134；eth1连接局域网，IP为192.168.62.101. 先在内核里打开ip转发功能#echo 1 > /proc/sys/net/ipv4/ip_forward2.?使局域网用户能访问internet所要做的nat#iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to?202.96.134.134如果上网的IP是动态IP，则使用以下规则：#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.62.0/24 -j MASQUERADE如果是通过ADSL上网，且公网IP是动态IP，则使用以下规则：#iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.62.0/24 -j MASQUERADE3. 使internet用户可以访问局域网内web主机所要做的nat#iptables -t nat -A PREROUTING -p tcp -d 202.96.134.134 --dport 80 -j DNAT --to-destination 192.168.62.10注：局域网内的客户端需将默认网关、DNS设为防火墙的IP在我们的网络机房实现NAT共享上网工作环境:上层代理192.168.60.6(4480)，只授予教师机(192.168.62.111)使用该代理的权限目标：不使用squid代理上网，而是使用NAT的方式上网方法：1) 确保停止教师机(192.168.62.111)的squid或其它代理服务2) 客户端网关、DNS均指向192.168.62.111，浏览器代理设置为192.168.60.6(4480)。

防火墙配置文件iptables详解对于Internet上的系统，不管是什么情况都要明确一点：网络是不安全的。

因此，虽然创建一个防火墙并不能保证系统100％安全，但却是绝对必要的。

Linux提供了一个非常优秀的防火墙工具—netfilter/iptables。

它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控制，且可以在一台低配置机器上很好地运行。

本文将简单介绍使用netfilter/iptables实现防火墙架设和Internet连接共享等应用。

netfilter/iptabels应用程序，被认为是Linux中实现包过滤功能的第四代应用程序。

netfilter/iptables包含在2.4以后的内核中，它可以实现防火墙、NAT（网络地址翻译）和数据包的分割等功能。

netfilter工作在内核内部，而iptables则是让用户定义规则集的表结构。

netfilter/iptables从ipchains和ipwadfm（IP防火墙管理）演化而来，功能更加强大。

下文将netfilter/iptabels统一称为iptables。

可以用iptables为Unix、Linux和BSD个人工作站创建一个防火墙，也可以为一个子网创建防火墙以保护其它的系统平台。

iptales只读取数据包头，不会给信息流增加负担，也无需进行验证。

要想获得更好的安全性，可以将其和一个代理服务器（比如squid）相结合。

基本概念典型的防火墙设置有两个网卡：一个流入，一个流出。

iptables读取流入和流出数据包的报头，将它们与规则集（Ruleset）相比较，将可接受的数据包从一个网卡转发至另一个网卡，对被拒绝的数据包，可以丢弃或按照所定义的方式来处理。

通过向防火墙提供有关对来自某个源地址、到某个目的地或具有特定协议类型的信息包要做些什么的指令，规则控制信息包的过滤。

通过使用iptables系统提供的特殊命令iptables建立这些规则，并将其添加到内核空间特定信息包过滤表内的链中。

iptables 相关概念在正式介绍 iptables 的使用之前，我们先来看一下和 iptables 相关的一些基本概念。

我们下面将会频繁使用到它们。

∙匹配（match）：符合指定的条件，比如指定的 IP 地址和端口。

∙丢弃（drop）：当一个包到达时，简单地丢弃，不做其它任何处理。

∙接受（accept）：和丢弃相反，接受这个包，让这个包通过。

∙拒绝（reject）：和丢弃相似，但它还会向发送这个包的源主机发送错误消息。

这个错误消息可以指定，也可以自动产生。

∙目标（target）：指定的动作，说明如何处理一个包，比如：丢弃，接受，或拒绝。

∙跳转（jump）：和目标类似，不过它指定的不是一个具体的动作，而是另一个链，表示要跳转到那个链上。

∙规则（rule）：一个或多个匹配及其对应的目标。

∙链（chain）：每条链都包含有一系列的规则，这些规则会被依次应用到每个遍历该链的数据包上。

每个链都有各自专门的用途，这一点我们下面会详细讨论。

∙表（table）：每个表包含有若干个不同的链，比如 filter 表默认包含有 INPUT，FORWARD，OUTPUT 三个链。

iptables 有四个表，分别是：raw，nat，mangle和filter，每个表都有自己专门的用处，比如最常用filter表就是专门用来做包过滤的，而 nat 表是专门用来做NAT的。

∙策略（police）：我们在这里提到的策略是指，对于 iptables 中某条链，当所有规则都匹配不成功时其默认的处理动作。

∙连接跟踪（connection track）：又称为动态过滤，可以根据指定连接的状态进行一些适当的过滤，是一个很强大的功能，但同时也比较消耗内存资源。

iptables 介绍iptables 的表和链：现在，让我们看看当一个数据包到达时它是怎么依次穿过各个链和表的。

基本步骤如下：∙ 1. 数据包到达网络接口，比如 eth0。

∙ 2. 进入 raw 表的 PREROUTING 链，这个链的作用是赶在连接跟踪之前处理数据包。

Linux下防火墙iptables使用详解iptables规则书写规则的语法格式为：iptables [-t table] command chains [creteria] -j action-t table就是表名，filter/nat/mangle三个表中的一个，默认是filter表command告诉程序如何做，比如：插入一个规则，还是删除等chains 链，有五个，PREROUTING POSTROUTING INPUT OUTPUT FORW ARDaction 处理动作，有ACCEPT DENY DROP REJECT SNAT DNA T一、Tables（表）选项-t用来指定用哪个表，它可以是下面的任何一个，默认的是filter表iptables有Filter, NAT, Mangle, Raw四种内建表：1. Filter表Filter是iptables的默认表，它有以下三种内建链(chains)：INPUT链–处理来自外部的数据。

OUTPUT链–处理向外发送的数据。

FORWARD链–将数据转发到本机的其他网卡设备上。

2. NAT表NAT表有三种内建链：PREROUTING链–处理刚到达本机并在路由转发前的数据包。

它会转换数据包中的目标IP地址（d estination ip address），通常用于DNAT(destination NAT)。

POSTROUTING链–处理即将离开本机的数据包。

它会转换数据包中的源IP地址（source ip add ress），通常用于SNAT（source NAT）。

OUTPUT链–处理本机产生的数据包。

3. Mangle表Mangle表用于指定如何处理数据包。

它能改变TCP头中的QoS位。

Mangle表具有5个内建链（cha ins）：PREROUTING 、OUTPUT、FORWARD、INPUT、POSTROUTING4. Raw表Raw表用于处理异常，它具有2个内建链：PREROUTING chainOUTPUT chain二、COMMANDS（命令）command指定iptables对我们提交的规则要做什么样的操作。

iptables详解及常⽤规则iptables简介netfilter/iptables（简称为iptables）组成Linux平台下的包过滤防⽕墙，与⼤多数的Linux软件⼀样，这个包过滤防⽕墙是免费的，它可以代替昂贵的商业防⽕墙解决⽅案，完成封包过滤、封包重定向和⽹络地址转换（NAT）等功能。

iptables基础规则（rules）其实就是⽹络管理员预定义的条件，规则⼀般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。

规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、⽬的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。

当数据包与规则匹配时，iptables就根据规则所定义的⽅法来处理这些数据包，如放⾏（accept）、拒绝（reject）和丢弃（drop）等。

配置防⽕墙的主要⼯作就是添加、修改和删除这些规则。

iptables和netfilter的关系：这是第⼀个要说的地⽅，Iptables和netfilter的关系是⼀个很容易让⼈搞不清的问题。

很多的知道iptables却不知道netfilter。

其实iptables只是Linux防⽕墙的管理⼯具⽽已，位于/sbin/iptables。

真正实现防⽕墙功能的是netfilter，它是Linux内核中实现包过滤的内部结构。

iptables传输数据包的过程①当⼀个数据包进⼊⽹卡时，它⾸先进⼊PREROUTING链，内核根据数据包⽬的IP判断是否需要转送出去。

②如果数据包就是进⼊本机的，它就会沿着图向下移动，到达INPUT链。

数据包到了INPUT链后，任何进程都会收到它。

本机上运⾏的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。

③如果数据包是要转发出去的，且内核允许转发，数据包就会如图所⽰向右移动，经过FORWARD链，然后到达POSTROUTING链输出。

iptables详解--转iptables详解基本概念：1.防⽕墙⼯作在主机边缘:对于进出本⽹络或者本主机的数据报⽂，根据事先设定好的检查规则对其检查，对形迹可疑的报⽂⼀律按照事先定义好的处理机制做出相应处理对linux⽽⾔tcp/ip协议栈是在内核当中，意味着报⽂的处理是在内核中处理的，也就是说防⽕墙必须在⼯作在内核中，防⽕墙必须在内核中完成tcp/ip报⽂所流进的位置，⽤规则去检查，才真正能⼯作起来。

iptables⽤来衡量tcp/ip报⽂的属性：源ip、⽬标ip、源端⼝、⽬标端⼝；tcp标志位: syn、syn+ack、ack、 fin、urg、psh、rst ；2.应⽤⽹关众多代理服务器都是应⽤⽹关，⽐如squid（使⽤acl限制应⽤层）varish这⼀类代理服务等。

3，⼊侵检测系统（IDS）：·⽹络⼊侵检测系统 NIDS·主机⼊侵检测系统 HIDS对于IDS常⽤的检测服务有：snort等4.⼊侵防御系统（IPS），⽐如蜜罐部署⼀套⼊侵检测系统是⾮常⿇烦的，因为必须检测⽹络任意⼀个位置对于IPS常⽤的检测服务有： tripwire 等iptables基本概念对linux来说，是能够实现主机防⽕墙的功能组件，如果部署在⽹络边缘，那么既可以扮演⽹络防⽕墙的⾓⾊，⽽且是纯软件的⽹络数据⾛向：请求报⽂à⽹关à路由à应⽤程序（等待⽤户请求）à内核处理à路由à发送报⽂iptables规则功能表:filter主要和主机⾃⾝有关，主要负责防⽕墙功能过滤本机流⼊流出的数据包是默认使⽤的表;input :负责过滤所有⽬标地址是本机地址的数据包，就是过滤进⼊主机的数据包;forward :负责转发流经主机但不进⼊本机的数据包，和NAT关系很⼤;output :负责处理源地址的数据包，就是对本机发出的数据包;NAT表：负责⽹络地址转换，即来源于⽬的IP地址和端⼝的转换，⼀般⽤于共享上⽹或特殊端⼝的转换服务snat :地址转换dnat :标地址转换pnat :标端⼝转换mangle 表：将报⽂拆开来并修改报⽂标志位，最后封装起来5个检查点（内置链）·PREROUTING·INPUT·FORWORD·OUTPUT·POSTROUTING多条链整合起来叫做表，⽐如，在input这个链，既有magle的规则也可能有fileter的规则。