我為大家整理出來iptables的所以知識，不用大家翻其他資料了！

　　iptables簡介

　　iptables是基于內核的防火墻，功能非常強大，iptables內置了filter，nat和mangle三張表。

　　filter負責過濾數據包，包括的規(guī)則鏈有，input，output和forward;

　　nat則涉及到網絡地址轉換，包括的規(guī)則鏈有，prerouting，postrouting和output;

　　mangle表則主要應用在修改數據包內容上，用來做流量整形的，默認的規(guī)則鏈有：INPUT，OUTPUT，NAT，POSTROUTING，PREROUTING;

　　input匹配目的IP是本機的數據包，forward匹配流經本機的數據包，prerouting用來修改目的地址用來做DNAT，postrouting用來修改源地址用來做SNAT。

　　iptables主要參數

　　-A 向規(guī)則鏈中添加一條規(guī)則，默認被添加到末尾

　　-T指定要操作的表，默認是filter

　　-D從規(guī)則鏈中刪除規(guī)則，可以指定序號或者匹配的規(guī)則來刪除

　　-R進行規(guī)則替換

　　-I插入一條規(guī)則，默認被插入到首部

　　-F清空所選的鏈，重啟后恢復

　　-N新建用戶自定義的規(guī)則鏈

　　-X刪除用戶自定義的規(guī)則鏈

　　-p用來指定協(xié)議可以是tcp，udp，icmp等也可以是數字的協(xié)議號，

　　-s指定源地址

　　-d指定目的地址

　　-i進入接口

　　-o流出接口

　　-j采取的動作，accept，drop，snat，dnat，masquerade

　　--sport源端口

　　--dport目的端口，端口必須和協(xié)議一起來配合使用

　　注意：所有鏈名必須大寫，表明必須小寫，動作必須大寫，匹配必須小寫

#p#

　　iptable配置實例

　　iptable基本操作

　　iptables -L 列出iptables規(guī)則

　　iptables -F 清除iptables內置規(guī)則

　　iptables -X 清除iptables自定義規(guī)則

　　設定默認規(guī)則

　　在iptables規(guī)則中沒有匹配到規(guī)則則使用默認規(guī)則進行處理

　　iptables -P INPUT DROP

　　iptables -P OUTPUT ACCEPT

　　iptables -P FORWARD DROP

　　配置SSH規(guī)則

　　iptables -A INPUT -p tcp --dport 22 -j ACCEPT

　　iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT 如果你把OUTPUT 設置成DROP，就需要加上這個規(guī)則,否則SSH還是不能登錄，因為SSH服務職能進不能出。

　　只允許192.168.0.3的機器進行SSH連接

　　iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT

　　如果要允許,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.

　　允許loopback回環(huán)通信

　　IPTABLES -A INPUT -i lo -p all -j ACCEPT

　　IPTABLES -A OUTPUT -o lo -p all -j ACCEPT

　　目的地址轉換，映射內部地址

　　iptables -t nat -A PREROUTING -i ppp0 -p tcp --dprot 81 -j DNAT --to 192.168.0.2:80

　　iptables -t nat -A PREROUTING -i ppp0 -p tcp --dprot 81 -j DNAT --to 192.168.0.1-192.168.0.10

　　源地址轉換，隱藏內部地址

　　iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1

　　iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1-1.1.1.10

　　地址偽裝，動態(tài)ip的NAT

　　iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

　　masquerade和snat的主要區(qū)別在于，snat是把源地址轉換為固定的IP地址或者是地址池，而masquerade在adsl等方式撥號上網時候非常有用，因為是撥號上網所以網卡的外網IP經常變化，這樣在進行地址轉換的時候就要在每次都要修改轉換策略里面的ip，使用masquerade就很好的解決了這個問題，他會自己去探測外網卡獲得的ip地址然后自動進行地址轉換，這樣就算外網獲得的ip經常變化也不用人工干預了。

　　開啟轉發(fā)功能

　　iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT 只允許已建連接及相關鏈接對內轉發(fā)

　　ptables -A FORWARD -i eth1 -o eh0 -j ACCEPT 允許對外轉發(fā)

　　過濾某個MAC

　　iptables -A FORWARD -m mac --mac -source MAC地址 -j DROP

　　報文經過路由后，數據包中原有的MAC信息會被替換，所以在路由后的iptables中使用mac匹配沒有意義。

　　數據包整流

　　iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s -j ACCEPT

　　iptables -A FORWARD -d 192.168.0.1 -j DROP

　　多端口匹配

　　用以一次匹配多個端口

　　iptables -A INPUT -p tcp -m muliport --dport s 21,22,25,80,110 -j ACCEPT

　　丟棄非法連接

　　iptables -A INPUT -m state --state INVALID -j DROP

　　iptables -A OUTPUT -m state --state INVALID -j DROP

　　iptables-A FORWARD -m state --state INVALID -j DROP

　　存儲于恢復iptables規(guī)則

　　iptables-save > somefile

　　iptables-restore < somefile

通過上文的介紹，我們都清楚的知道的了iptables一些知識。希望本文對大家有幫助！

【編輯推薦】

1. iptables 端口轉發(fā)
2. iptables nat 技術筆記
3. iptables+NAT+端口映射
4. 如何查看iptables關于nat的日志
5. RedHat 9上用iptables做NAT網和記錄日志
6. iptables下開放ftp連接
7. Linux iptables將nat中內網多臺ftp服務器映射出去
8. Linux Iptables 內核添加time模塊