iptables的基本使用

1、iptables的组成：内核态：集成在内核里的功能。用户态：安装服务的软件包后提供的管理命令

2、iptables服务的功能：查看，修改，删除，添加规则

3、iptables的组成：
功能 表 链
ip包过滤: filter INPUT，FORWARD，OUTPUT
网络地址转换: nat PREROUTING，POSTROUTING，OUTPUT
对ip包打标记: mangle PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
做状态跟踪: raw PREROUTING， OUTPUT

方向 链
进入防火墙主机 INPUT
经过防火墙主机 FORWARD
从防火墙主机出去的 OUTPUT
路由前 PREROUTING
路由后 POSTROUTING

4、基本语法规则： iptables -t 表名 管理选项 链名 匹配规则 -j 处理动作
A、管理选项：-L 查看 ，-F 清除,-D 清除某一个规则，-A 添加规则 -P 修改链的默认规则，-I插入规则
iptables -t filter -nL --line-numbers //查看表中的所有默认规则
iptables -t filter -D INPUT 3 //删除表中input链的第三条规则
iptables -t filter -F INPUT //清除表中链的所有规则
iptables -t filter -F //删除表中的所有规则
service iptables save //保存，让设置永久生效
B、处理动作：ACCEPT 允许 DROP 丢弃 REJECT 拒绝
iptables -t filter -P INPUT DROP //修改默认链的规则为DROP
C、匹配条件：-p 协议（udp,tcp） --sport(源端口号) --dport(目标端口) , 源地址 :--source 目标地址:--desi

主机型防火墙（服务器保护自己）
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT //给表中的链增加22端口访问
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT //
iptables -t filter -I INPUT 1 --source 192.168.4.102 -p tcp --dport 22 -j DROP //
iptables -t filter -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT //开通本机ping其它主机

网络型防火墙（架设在2个网络之间的服务器，保护内部网络）
iptables -t filter -P FORWARD DROP // 修改默认链的规则为drop
iptables -t filter -A FORWARD -p tcp --dport 22 -j ACCEPT //增加目的端口22的访问权限
iptables -t filter -A FORWARD -p tcp --sport 22 -j ACCEPT //增加源端口22的访问权限

网络地址转换：nat表（转换源地址，转换目标地址）
1、让内网所有主机共享一个公网ip地址上网
iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -p tcp --dport 80 -o eth1 -j SNAT --to-source 192.168.2.101
2、发布内网服务器
iptables -t nat -A PREROUTING -i eth1 -d 192.168.2.101 -p tcp --dport 80 -j DNAT --to-destination 192.168.4.102