今天又学习了一下iptables,做一点总结来方便以后查阅。

Netfilter(网络过滤器)是Linux操作系统核心层内部的一个数据包处理模块,主要负责数据包的拦截和转发,而iptables是NetFilter的一种应用化,为了方便定义规则和配置。

iptables工作在linux的内核空间,它通过内核空间的接口与用户空间通信,控制数据包在内核空间上的接口(就是经常说到的port)之间转发。

这是一条典型的iptables的配置语句,我从这里开始发散思维:



 iptables -t nat -A PREROUTING -d 172.30.1.8 -p tcp --dport 80 -j DNAT --to-destination 192.168.9.25


 这条语句的功能是:在PREROUTING链的nat表上添加一条规则将来自172.30.1.8的80端口的请求转发到192.168.9.25。

语句指定了七个部分:链,表,源,目的,协议,端口和动作,我就从之七个方面分别记录。

1、链(chain)

iptables共有五个规则链:   



        1.INPUT (数据包流入内核空间)      



        2.OUTPUT(数据包流出内核空间)



        3.FORWARD (数据包在port之间的转发)



    4.PREROUTING (目的地址转换)



        5.POSTROUTING(源地址转换)



其中PREROUTING和POSTROUTING分别对应着目的地址转换(DNAT)和源地址转换(SNAT),我的理解是,网卡是一个物理设备,在系统之外的层次,数据包的流入流出都需要通过网卡,路由是发生在内核空间,在数据包通过网卡而未到达内核中的这一段时间,由POSTROUTING来定义。而在数据包通过了内核而未到达网卡的这一段时间,由PREROUTING来定义。简单来说,数据包上记录着数据的源地址和目的地址,PREROUTING链记录了数据包的目的地址的修改,而POSTROUTING链记录了数据包原地址的修改,数据包在内核会先经过路由表的路由,路由之后在经过iptables的处理,处理后新的数据包再进行转发。因为,我认为从某种意义上来说,iptables的PREROUTING和POSTROUTING也可以简单的看成修改数据包的源地址和目的地址。



每一条规则在链中的匹配原则是从上到下。



链的选项:



  -P chain :设置链的默认策略



     -A chain :在链的最后新增一个规则



   -F  chain:清除链的所有规则



   -N chain: 支持用户新建一个链



     -X chain: 用于删除用户自定义的空链,删除链之前需要将链清空



     -E chain newchain: 用来给用户自定义的链重命名



     -I chain num: 将当前规则插入为指定链的第几条



     -R chain num:修改指定链的第几条规则



     -D chain num:删除指定链的第几条规则



示例:



必须同时指定表和链)

iptables -F PREROUTING -t nat iptables -D POSTROUTING 1 -t nat



    



2、表(table)



  表有什么存在的意义?  难道仅仅是方便管理和查看?目前常用的表有三个,filter用来定义允许或不允许,nat用来定义地址转换,mangle用来修改报文原数据。



    -t table: 匹配表,不指定则默认适用于所有表



 



3、源



  -s address:指定源地址



4、目的



 -d address:指定目的地址



 



5、协议



  -p proto:匹配协议



iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT



6、端口

--sport num: 指定源端口

--dport num: 指定目的端口

--dport XX-XX:指定多个端口,不能指定多个非连续端口



-m  --dports 21,23,80:表示启用多端口扩展,可以指定多个非连续端口



开放服务器的3306和90端口:



iptables -A INPUT -p tcp -m multiport --dport 3306,90 -j ACCEPT iptables -A OUTPUT -p tcp -m multiport --sport 3306,90 -j ACCEPT



 7、动作

-j ACTION: 对数据包的处理

常见的ACTION:



   DROP:丢弃



     REJECT:拒绝



     ACCEPT:接受



     custom_chain:转向一个自定义的链



     DNAT:目的地址转换



     SNAT:源地址转换



     MASQUERADE:源地址伪装,改写数据包来源 IP 为防火墙 NIC IP



     REDIRECT:重定向,主要用于实现端口重定向



     MARK:打防火墙标记



     RETURN:返回



     LOG:记录数据包信息



 



  示例:



将90端口重定向到80端口:



iptables -I PREROUTING 1 -t nat -p tcp --dport 90 -j REDIRECT --to-ports 80



将通过端口79-80的数据包改写源 IP:



iptables -A POSTROUTING -t nat -p tcp -j MASQUERADE --to-ports 79-81



 将的80端口重定向到百度:



iptables -A PREROUTING -t nat -p tcp -d 119.29.23.152 --dport 80 -j DNAT --to-destination 14.215.177.38:80 iptables -A postrouting -t nat -p tcp -d 14.215.177.38 --dport 80 -j SNAT --to-source 119.29.23.152 echo 1 > /proc/sys/net/ipv4/ip_forward #开启服务器的转发功能



 还有一些其他的匹配选项:



    -i eth0:从eth0网卡流入的数据包



    -o eth0:从eth0网卡流出的数据包



简单的iptables规则基本介绍完了,下面是查看命令:



iptables -L -n #以数字的方式显示ip,它会将ip直接显示出来,如果不加-n,则会将ip反向解析成主机名 iptables -L -v #显示详细信息 iptables -L -vv iptables -L -vvv #越多越详细 iptables -L -x #在计数器上显示精确值,不做单位换算 iptables -L --line-numbers #显示规则的行号 iptables -L -t nat #显示nat表所有的信息



另外,我们在终端编辑的iptables规则只是临时生效,要想在服务器重启后还能生效,需要将规则保存在配置文件/etc/sysconfig/iptables中,并且etc/sysconfig/iptables中的规则都是永久生效的。执行service iptables save命令,会使当前定义的规则保存到/etc/sysconfig/iptables中。若想将当前规则备份起来,备份iptabales规则命令是iptables-save > /etc/sysconfig/iptables.bak。若想要使用自己写的iptables配置文件或者手动加载备份的iptables配置文件,使用iptables-restore < /etc/sysconfig/iptables.bak命令。