iptables的基本使用

1、iptables的組成：內核態：集成在內核裏的功能。用戶態：安裝服務的軟件包後提供的管理命令

2、iptables服務的功能：查看，修改，刪除，添加規則

3、iptables的組成：
功能 表 鏈
ip包過濾: filter INPUT，FORWARD，OUTPUT
網絡地址轉換: nat PREROUTING，POSTROUTING，OUTPUT
對ip包打標記: mangle PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
做狀態跟蹤: raw PREROUTING， OUTPUT

方向 鏈
進入防火牆主機 INPUT
經過防火牆主機 FORWARD
從防火牆主機出去的 OUTPUT
路由前 PREROUTING
路由後 POSTROUTING

4、基本語法規則： iptables -t 表名 管理選項 鏈名 匹配規則 -j 處理動作
A、管理選項：-L 查看 ，-F 清除,-D 清除某一個規則，-A 添加規則 -P 修改鏈的默認規則，-I插入規則
iptables -t filter -nL --line-numbers //查看錶中的所有默認規則
iptables -t filter -D INPUT 3 //刪除表中input鏈的第三條規則
iptables -t filter -F INPUT //清除表中鏈的所有規則
iptables -t filter -F //刪除表中的所有規則
service iptables save //保存，讓設置永久生效
B、處理動作：ACCEPT 允許 DROP 丟棄 REJECT 拒絕
iptables -t filter -P INPUT DROP //修改默認鏈的規則爲DROP
C、匹配條件：-p 協議（udp,tcp） --sport(源端口號) --dport(目標端口) , 源地址 :--source 目標地址:--desi

主機型防火牆（服務器保護自己）
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT //給表中的鏈增加22端口訪問
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT //
iptables -t filter -I INPUT 1 --source 192.168.4.102 -p tcp --dport 22 -j DROP //
iptables -t filter -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT //開通本機ping其它主機

網絡型防火牆（架設在2個網絡之間的服務器，保護內部網絡）
iptables -t filter -P FORWARD DROP // 修改默認鏈的規則爲drop
iptables -t filter -A FORWARD -p tcp --dport 22 -j ACCEPT //增加目的端口22的訪問權限
iptables -t filter -A FORWARD -p tcp --sport 22 -j ACCEPT //增加源端口22的訪問權限

網絡地址轉換：nat表（轉換源地址，轉換目標地址）
1、讓內網所有主機共享一個公網ip地址上網
iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -p tcp --dport 80 -o eth1 -j SNAT --to-source 192.168.2.101
2、發佈內網服務器
iptables -t nat -A PREROUTING -i eth1 -d 192.168.2.101 -p tcp --dport 80 -j DNAT --to-destination 192.168.4.102