iptables:(所有的动作参数、系统链和最后的一个参数大写)
语法:
iptables -t 表 动作 链 匹配条件 目标
所有表:raw、mangle、nat、filter
raw:确定是否对该数据包进行状态跟踪
mangle:为数据包设置标记
nat:修改数据包中的源、目标 IP地址或端口
filter:确定是否放行该数据包(过滤)
数据访问表的顺序:raw、mangle、nat、filter
-t:后面指定表
如果没有-t参数,默认使用filter表
动作:(所有参数都大写)
-L:查看表中的规则
查看特定的表 -t 表名
在查看的时候加-n不解析地址
查看的时候加--line-numbers,显示行号
查看的时候加-v,显示更详细的内容和计数
-A:add添加规则
iptables -t filter -A INPUT -p tcp -s 1.1.1.1 --dport 21 -j DROP
-D:del删除规则:
根据规则删除:
iptables -D INPUT -p tcp -s 1.1.1.1 --dport 21 -j DROP
根据行号删除:
iptables -D INPUT 1
-I:插入规则:
插入到第三条规则前:
iptables -I INPUT 3 -p tcp -s 1.1.1.1 --dport 21 -j DROP
-R:替换规则:
替换第三条规则:
iptables -R INPUT 3 -p tcp -s 1.1.1.1 --dport 21 -j DROP
-P:修改默认规则:(默认都为ACCEPT,此处只有ACCEPT和DROP两个参数)
iptables -P INPUT DROP
-N:新建自定义链
iptables -N ys
在自定义的链中添加规则:
iptables -A ys -p tcp -s 1.1.1.1 --dport 80 -j DROP
把自定义的链添加到系统的链中:
iptables -A INPUT -j ys
-X:删除自定义链:(删除前必须先从系统链中删除和清空自定义链中的规则)
iptables -X ys
-E:给自定义链更名:
iptables -E ys sy
-F:清空规则:(如果不指定链名,则清空所有链中的规则)
iptables -F
-Z:清空计数:
iptables -Z
链:PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING
PREROUTING:在进行路由选择前处理数据包 come
INPUT:处理入站数据包
FORWARD:处理转发数据包
OUTPUT:处理出站数据包
POSTROUTING:在进行路由选择后处理数据包
匹配条件:
-p:指定协议,tcp、udp、icmp
--sport:原端口
--dport:目标端口
-s:原地址
-d:目标地址
-i:进入的网卡
-o:出去的网卡
目标动作:
-j:ACCEPT、DROP、REJECT、LOG
-g:跳转链
保存设置
/etc/init.d/iptables save
iptables-save > /etc/sysconfig/iptables
iptables-restore < /etc/sysconfig/iptables