iptables命令用于创建数据过滤与NAT规则,在iptables命令中设置数据过滤或处理数据包的策略叫做规则,将多个规则合成一个链。
ACCEPT:允许通过
LOG:记录日志信息,然后传给下一条规则继续匹配。
REJECT:拒绝通过,必要时给出提示。
DROP:直接丢弃,不给出任何回应。
规则链依据处理数据包的位置不同而进行分类
PREROUTING:在进行路由选择前处理数据包。
INPUT:处理入站的数据包。
OUTPUT:处理出站的数据包。
FORWARD:处理转发的数据包。
POSTROUTING:在进行路由选择后处理数据包。
规则链的先后顺序:
入站顺序:PREROUTINGàINPUT
出站顺序:OUTPUTàPOSTROUTING
转发顺序:PREROUTINGàFORWARDàPOSTROUTING
iptables中的规则表是用于容纳规则链,规则表默认是允许状态的,那么规则链就是设置被禁止的规则,而反之如果规则表是禁止状态的,那么规则链就是设置被允许的规则
raw表:确定是否对该数据包进行状态跟踪。
mangle表:为数据包设置标记。
nat表:修改数据包中的源、目的IP地址或端口。
filter表:此表是默认规则表,确定是否放行该数据包。
规则表的先后顺序:rawàmangleànatàfilter
1. 没有指定规则表则默认指filter表。
2. 不指定规则链则指表内所有的规则链。
3. 在规则链中匹配规则时会依次检查,匹配即停止(LOG规则除外),若没有匹配项则按链的默认状态处理。
iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]
# iptables -L -t filter #查看filter表,“-t filter”可省略,因为默认就是filter表
# iptables -L -t nat #查看nat表
#将INPUT链的默认策略设置为丢弃。(此时ssh连接也被拒绝了) -P:policy
# iptables -P INPUT DROP
#允许所有的ping操作,-I:insert在规则链头部加入新规则 -p:protocol -j: jump指令
# iptables -I INPUT -p icmp -j ACCEPT
在INPUT链追加一条规则,允许所有未被其他规则匹配上的数据包通过,“-t filter”可省略,因为默认就是filter表
# iptables -t filter -A INPUT -j ACCEPT
仅允许来自于10.0.0.0/24网段的用户连接本机的ssh服务
# iptables -I INPUT -s 10.0.0.0/24 -p tcp --dport 22 -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -j REJECT
不允许任何主机访问本机的12345端口
# iptables -I INPUT -p tcp --dport 12345 -j REJECT
# iptables -I INPUT -p udp --dport 12345 -j REJECT
拒绝所有主机通过eth0网卡访问本机的http服务
# iptables -I INPUT -i eth0 -p tcp --dport 80 -j REJECT
FORWARD规则相当于路由功能
禁止用户访问www.wangning.com
iptables -I FORWARD -d www.wangning.com -j REJECT
禁止IP为10.0.0.66的用户上网
# iptables -I FORWARD -s 10.0.0.66 -j REJECT
#删除filter表中INPUT规则的第一条
# iptables -D INPUT 1
# /etc/init.d/iptables save
原文:http://blog.51cto.com/wn2100/2054541