一.基本
1.iptables和firewalld服务都是管理防火墙的工具,并不是防火墙.rhel7用firewalld服务代替了iptables服务
2.策略:
ACCEPT: 接受 REJECT: 拒绝 DROP: 丢弃 LOG: 记录日志,然后传给下一个规则匹配(日志/var/log/message)
3.规则表:
raw表: 确定是否对数据包进行状态跟踪 mangle表: 为数据包设置标记 nat表:修改数据包中的源,目标IP地址或端口 filter:确定是否放行该数据包(过滤,这是默认的表类型)
先后顺序:raw -> mangle -> nat -> filter
4.规则链:
PREROUTINT: 在进行路由选择前处理数据包 INPUT: 处理入站数据包 OUTPUT:处理出站的数据包 FORWARD:处理转发数据包 POSTROUTING:路由选择后处理数据包
先后顺序
入站顺序:PREROUTINT -> INPUT
出站顺序:OUTPUT -> POSTROUTING
转发顺序:PREROUTINT -> FORWARD -> POSTROUTING
综合示意图:
5.注意
a.没有指定规则表,则默认是filter
b.没有指定规则链则指表内所有规则链
c.规则链中匹配规则时,会依次检查,匹配即停止(LOG除外)
二.命令格式
1.基本格式
iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]
2.参数:
-P 设置默认策略,如: iptables -P INPUT (DROP|ACCEPT) -F 清空规则链 -L 查看规则链 -A 规则链末尾插入新规则 -I num 规则链头部插入新规则 -D num 删除某一条规则 -s 匹配来源地址ip/MASK, 加!表示除了这个IP外 -d 匹配目标地址 -i 网卡名称 匹配从这块网卡流入的数据 -o 网卡名称 匹配从这块网卡流出的数据 -p 匹配协议,如tcp/upd/icmp --dport num 目标端口号 --sport num 来源端口号
查看nat链:
iptables -t nat -nL
允许ping:
iptables -I INPUT -p icmp -j ACCEPT
3.snat(源地址转换技术)和dnat(目标地址转换技术)
本机80端口转发到81端口:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 81 iptables -I INPUT -p tcp --dport 81 -j ACCEPT
将访问本机的80端口时转向到192.168.2.10的9000端口
iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.2.10:9000 iptables -t nat -A POSTROUTING -j MASQUERADE