浙江省大成建设集团有限公司网站/优化设计六年级上册语文答案

iptables

iptables是linux上常用的防火墙软件，是netfilter项目的一部分。

策略（通/堵）

默认策略：拒绝所有数据包从入口方向进入

• 通：默认“门“关闭，须指定谁能进。
• 堵：默认“门”开启，须持有身份认证才可进入。

通，是要全通，堵，是要选择。

定义策略时，分别要定义多条功能。

安装

#yum install iptables   iptables-services  iptables-devel   -y

语法

iptabls （选项）（参数）

iptables  -t 表名  <-A/I/D/R> 规则链 [规则号] <-i/o 网卡名> -p协议名 <-s 源IP/源子网>   --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作即 iptables -t 表名 动作 链名 匹配条件 -j 目标动作

四表五链

四表

• raw 数据包跟踪

raw 数据包跟踪 只能做在两个链上：PREROTTING OUTPUT

• mangle 标记数据包

manegle 标记数据包 5 链都可以做。

• nat 网络地址转换

nat 定义地址转换，只能做在4个链上：PREROUTING  INPUT  OUTPUT POSTROUTING

• filter 数据包过滤

filter 定义允许或不允许，只能做在三个链上：INPUT  FORWORD OUTPUT

五链

• PREROUTING 路由之前
• INPUT 数据包流入
• FORWARD 数据包经过
• OUTPUT 数据包流出
• POSTROUTING 路由之后

自定义链

1. 创建自定义链
# iptables -N name
2.添加自定义链
# iptables -A name INPUT -j  动作
3.关联自定义链
# iptables -A INPUT -j name
4.修改自定义链名称
# iptables -E oldname  newname
5.删除自定义链（不能关联，不能有规则）
# iptables -X name

选项

指定表

-t 对指定的表操作

通用匹配

-p  指定要匹配的数据包协议类型
-s  把指定的一个／一组地址作为源地址，按此规则进行过滤。当后面没有 mask 时，address 是一个地址，比如：192.168.1.1；当 mask 指定时，可以表示一组范围内的地址，比如：192.168.1.0/255.255.255.0。
-d  地址格式同上，但这里是指定地址为目的地址，按此进行过滤。
-i  指定数据包的来自来自网络接口，比如最常见的 eth0 。注意：它只对 INPUT，FORWARD，PREROUTING 这三个链起作用。如果没有指定此选项， 说明可以来自任何一个网络接口。同前面类似，"!" 表示取反。
-o  指定数据包出去的网络接口。只对 OUTPUT，FORWARD，POSTROUTING 三个链起作用。

查看管理命令

-L  列出链 chain 上面的所有规则，如果没有指定链，列出表上所有链的所有规则。

规则管理命令

-A  在指定链 chain 的末尾插入指定的规则，也就是说，这条规则会被放到最后，最后才会被执行。规则是由后面的匹配来指定。
-I  在链 chain 中的指定位置插入一条或多条规则。如果指定的规则号是1，则在链的头部插入。这也是默认的情况，如果没有指定规则号。
-D  在指定的链 chain 中删除一个或多个指定规则。
-R  num：Replays替换/修改第几条规则

链管理命令

-P  为指定的链 chain 设置策略 target。注意，只有内置的链才允许有策略，用户自定义的是不允许的。
-F  清空指定链 chain 上面的所有规则。如果没有指定链，清空该表上所有链的所有规则。
-N  用指定的名字创建一个新的链。
-X  删除指定的链，这个链必须没有被其它任何规则引用，而且这条上必须没有任何规则。如果没有指定链名，则会删除该表中所有非内置的链。
-E 用指定的新名字去重命名指定的链。这并不会对链内部照成任何影响。
-Z  把指定链，或者表中的所有链上的所有计数器清零。

-j   满足某条件时该执行什么样的动作。target 可以是内置的目标，比如 ACCEPT，也可以是用户自定义的链。

基本参数

-P  设置默认策略
-F  清空规则链
-L  查看规则链
-A  在规则链的末尾加入新规则
-I  num 在规则链的头部加入新规则
-D  num 删除某一条规则
-s  匹配来源地址IP/MASK ，家谈好“！”表示除这个IP外
-d  匹配目标地址
-i  网卡名称  匹配从这块网卡流入的数据
-o  网卡名称  匹配从这块网卡流出的数据
-p  匹配协议，如tcp udp icmp
--dport 匹配目标端口号
--sport 匹配来源端口号

动作

ACCEPT      接收数据包
DROP        丢弃数据包
REDIRECT    重定向、映射、透明代理
SNAT        源地址转换
DNAT        目标地址转换
MASQUERADE  IP伪装（NAT），用于ADSL.
LOG         日志记录

举个栗子

清空当前规则和记数

# iptables -F  清空所有的防火墙规则
# iptables -Z  清空计数
# iptables -X  删除用户自定义的空链

查看防火墙规则

# iptables -nL --line-numbers -t nat -v-L 列出规则
-n 以数字的形式形式协议和主机
-line 显示规则行号 
-t 可以跟不同的表
-v verbose 重点数数据包的统计信息

追加规则

# iptables -t filter -A INPUT -p icmp -j REJECT

修改规则

# iptables -R INPUT 1 -p tcp -j REJECT

删除规则

# iptables  -D  INPUT 1

插入规则

# iptables -I INPUT -p tcp --dport 23 -j DROP
# iptables -I INPUT 2 -p tcp  --dport 23 -j DROP

创建自定义链

# iptables -N name

添加规则到自定义链

# iptables -A name -p icmp -j DROP

关联自定义链

# iptables -A INPUT -j name

修改默认策略

# iptables -P INPUT DROP
只能写DROP ACCEPT

查看规则

# iptables -S INPUT

SNAT和DNAT

SNAT修改源IP地址

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 202.106.18.8

DNAT修改目标 IP地址

iptables -t nat -A PREROUTING -d 202.106.18.8 -j DNAT --to 192.168.1.8