iptables 入门教程

iptables 中的指令，均需区分大小写。ipchains 和 iptables 在语法上的主要的差异，注意如下∶1. 在 ipchains 中，诸如 input 链，是使用小写的 chains 名，在 iptables 中，要改用大写 INPUT。2. 在 iptables 中，要指定规则是欲作用在那一个规则表上（使用 -t 来指定，如 -t nat），若不指定，则预设是作用在 filter 这个表。3. 在 ipchains 中， -i 是指介面（interface），但在 iptables 中，-i 则是指进入的方向，且多了 -o，代表出去的方向。4. 在 iptables 中，来源 port 要使用关键字 --sport 或 --source-port5. 在 iptables 中，目的 port 要使用关键字 --dport 或 --destination-port6. 在 iptables 中，"丢弃" 的处置动作，不再使用 DENY 这个 target，改用 DROP。7. 在 ipchains 的记录档功能 -l，已改为目标 -j LOG，并可指定记录档的标题。8. 在 ipchains 中的旗标 -y，在 iptables 中可用 --syn 或 --tcp-flag SYN,ACK,FIN SYN9. 在 iptables 中，imcp messages 型态，要加上关键字 --icmp-type，如∶iptables -A OUTPUT -o eth0 -p icmp -s $FW_IP --icmp-type 8 -d any/0 -j ACCEPTiptables 使用时的样板在设定 iptables 的封包过滤规则时，有几个样板的动作，若先熟に牵缶涂勺孕刑子茫来死嗤疲芸斓兀涂梢越胝飧鎏斓刂小？/P>观察目前的设定作法如下∶iptables -L -niptablse -t nat -L -n定义变数FW_IP="163.26.197.8"打开核心 forward 功能作法如下∶###-----------------------------------------------------#### 打开 forward 功能###-----------------------------------------------------###echo "1" > /proc/sys/net/ipv4/ip_forward清除所有的规则一开始要先清除所有的规则，重新开始，以免旧有的规则影响新的设定。作法如下∶###-----------------------------------------------------#### 清除先前的设定###-----------------------------------------------------#### 清除预设表 filter 中，所有规则链中的规则iptables -F# 清除预设表 filter 中，使用者自订链中的规则iptables -X# 清除mangle表中，所有规则链中的规则iptables -F -t mangle# 清除mangle表中，使用者自订链中的规则iptables -t mangle -X# 清除nat表中，所有规则链中的规则iptables -F -t nat# 清除nat表中，使用者自订链中的规则iptables -t nat -X选定预设的政策接着，要选定各个不同的规则链，预设的政策为何。作法如下∶预设全部丢弃∶###-----------------------------------------------------#### 设定 filter table 的预设政策###-----------------------------------------------------###iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARD DROP或者预设全部接受∶###-----------------------------------------------------#### 设定 filter table 的预设政策###-----------------------------------------------------###iptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPT各个规则链的预设政策可独立自主的设定，不必受其它链的影响。以下练习，若目标为 DROP，则 policy 请设为 ACCEPT；若目标为 ACCEPT，则 policy 请设为 DROP，如此方可看出效果。开放某一个介面作法如下∶iptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPT注∶IPFW 或 Netfilter 的封包流向，local process 不会经过 FORWARD Chain，因此 lo 只在 INPUT 及 OUTPUT 二个 chain 作用。iptables -A INPUT -i eth1 -j ACCEPTiptables -A OUTPUT -o eth1 -j ACCEPTiptables -A FORWARD -i eth1 -j ACCEPTiptables -A FORWARD -o eth1 -j ACCEPTIP 伪装使内部网路的封包经过伪装之后，使用对外的 eth0 网卡当作代表号，对外连线。作法如下∶###-----------------------------------------------------#### 启动内部对外转址###-----------------------------------------------------###iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source $FW_IP上述指令意指∶把 172.16.0.0/16 这个网段，伪装成 $FW_IP 出去。

虚拟机RedHat通讯及开启telnet登陆如何更改SSH端口号相关资讯 IpTables

CentOS Samba 服务器 Iptables 和（今 07:14）
iptables超全详解（09月01日）
Iptables防火墙基础知识（08月19日）

Iptables工作原理使用详解（09月06日）
iptables中NAT表（08月25日）
Linux 为FTP 服务器添加iptables规（08月11日）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规