iptables配置说明
1.iptables的发展:html
对于TCP/IP的七层模型来说,咱们知道第三层是网络层,三层的防火墙会在这层对源地址和目标地址进行检测。iptables是网络层的防火墙.
iptables的前身叫ipfirewall (内核1.x时代),这是一个做者从freeBSD上移植过来的,可以工做在内核当中的,对数据包进行检测的一款简易访问控制工具。可是ipfirewall工做功能极其有限(它须要将全部的规则都放进内核当中,这样规则才可以运行起来,而放进内核,这个作法通常是极其困难的)。当内核发展到2.x系列的时候,软件改名为ipchains,它能够定义多条规则,将他们串起来,共同发挥做用,而如今,它叫作iptables,能够将规则组成一个列表,实现绝对详细的访问控制功能。
他们都是工做在用户空间中,定义规则的工具,自己并不算是防火墙。它们定义的规则,可让在内核空间当中的netfilter来读取,而且实现让防火墙工做。而放入内核的地方必需要是特定的位置,必须是tcp/ip的协议栈通过的地方。而这个tcp/ip协议栈必须通过的地方,能够实现读取规则的地方就叫作 netfilter.(网络过滤器)。
做者一共在内核空间中选择了5个位置,
1.内核空间中:从一个网络接口进来,到另外一个网络接口去的
2.数据包从内核流入用户空间的
3.数据包从用户空间流出的
4.进入/离开本机的外网接口
5.进入/离开本机的内网接口
在内核空间中选择了5个位置进行过滤。来做为控制的地方,可是你有没有发现,其实前三个位置已经基本上能将路径完全封锁了,可是为何已经在进出的口设置了关卡以后还要在内部卡呢? 因为数据包还没有进行路由决策,还不知道数据要走向哪里,因此在进出口是没办法实现数据过滤的。因此要在内核空间里设置转发的关卡,进入用户空间的关卡,从用户空间出去的关卡。那么,既然他们没什么用,那咱们为何还要放置他们呢?由于咱们在作NAT和DNAT的时候,目标地址转换必须在路由以前转换。因此咱们必须在外网然后内网的接口处进行设置关卡。
这五个位置也被称为五个钩子函数(hook functions),也叫五个规则链。
1.PREROUTING (路由前) 进入netfilter后的数据包在进入路由判断前执行的规则。改变包。
2.INPUT (数据包流入口) 当通过路由判断后,要进入本机的数据包执行的规则。
3.FORWARD (转发管卡) 通过路由判断后,目的地不是本机的数据包执行的规则。与nat 和 mangle表相关联很高,与本机没有关联。
4.OUTPUT(数据包出口) 由本机产生,需向外发的数据包执行的规则。
5.POSTROUTING(路由后) 通过路由判断后,发送到网卡接口前。即数据包准备离开netfilter时执行的规则。
这是NetFilter规定的五个规则链,任何一个数据包,只要通过本机,必将通过这五个链中的其中一个链。
(图片中的说明单网卡和双网卡的的过滤位置)
咱们如今用的比较多个功能有3个:
1.filter 定义容许或者不容许的,对于filter来说通常只能作在3个链上:INPUT ,FORWARD ,OUTPUT
2.nat 定义地址转换的 ,对于nat来说通常也只能作在3个链上:PREROUTING ,OUTPUT ,POSTROUTING
3.mangle功能:用于高级路由信息包,如包头内有更改(如tos改变包的服务类型,ttl包的生存时间,mark特殊标记),而mangle则是5个链均可以作:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
注意:规则的次序很是关键,谁的规则越严格,应该放的越靠前,而检查规则的时候,是按照从上往下的方式进行检查的。
为了更方便的测试,linux作为单机防火墙测试,图中的linux1和linux2以作了nat.具体配置流程查看连接。linux
http://www.cnblogs.com/Yuanbangchen/p/5840297.html服务器
三.规则的写法:
格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION
iptable [-t 表名] -命令 [连接] [匹配] [-j 动做/目标]
-t table :3个filter nat mangle
COMMAND:定义如何对规则进行管理
chain:指定你接下来的规则究竟是在哪一个链上操做的,当定义策略的时候,是能够省略的
CRETIRIA:指定匹配标准
-j ACTION:指定动做
(一) table (表)
一、filter表:默认用filter表执行全部的命令。只操做与本机有关的数据包。
二、nat表:主要用于NAT地址转换。只有数据流的第一个数据包被这个链匹配,后面的包会自动作相同的处理。
分为:DNAT(目标地址转换)、SNAT(源地址转换)、MASQUERADE
(1)DNAT操做主要用在这样一种状况,你有一个合法的IP地址,要把对防火墙的访问 重定向到其余的机子上(好比DMZ)。也就是说,咱们改变的是目的地址,以使包能重路由到某台主机。
(2)SNAT 改变包的源地址,这在极大程度上能够隐藏你的本地网络或者DMZ等。内网到外网的映射。
(3)MASQUERADE 的做用和SNAT彻底同样,只是计算机的负荷稍微多一点。由于对每一个匹配的包,MASQUERADE都要查找可用的IP地址,而不象SNAT用的IP地址是配置好的。
一、filter表:默认用filter表执行全部的命令。只操做与本机有关的数据包。
二、nat表:主要用于NAT地址转换。只有数据流的第一个数据包被这个链匹配,后面的包会自动作相同的处理。
分为:DNAT(目标地址转换)、SNAT(源地址转换)、MASQUERADE
(1)DNAT操做主要用在这样一种状况,你有一个合法的IP地址,要把对防火墙的访问 重定向到其余的机子上(好比DMZ)。也就是说,咱们改变的是目的地址,以使包能重路由到某台主机。
(2)SNAT 改变包的源地址,这在极大程度上能够隐藏你的本地网络或者DMZ等。内网到外网的映射。
(3)MASQUERADE 的做用和SNAT彻底同样,只是计算机的负荷稍微多一点。由于对每一个匹配的包,MASQUERADE都要查找可用的IP地址,而不象SNAT用的IP地址是配置好的。
固然,这也有好处,就是咱们可使用经过PPP、 PPPOE、SLIP等拨号获得的地址,这些地址但是由ISP的DHCP随机分配的。
三、mangle表:用来改变数据包的高级特性,通常不用。
(二) command(命令)详解
一、 -A或者--append //将一条或多条规则加到链尾
二、 -D或者--delete //从链中删除该规则
三、 -R或者--replace //从所选链中替换一条规则
四、 -L或者--list //显示链的全部规则
三、mangle表:用来改变数据包的高级特性,通常不用。
(二) command(命令)详解
一、 -A或者--append //将一条或多条规则加到链尾
二、 -D或者--delete //从链中删除该规则
三、 -R或者--replace //从所选链中替换一条规则
四、 -L或者--list //显示链的全部规则
-v 显示链更详细的规则
-N 显示链全部规则,并以数字形式显示。跟-L配合使用。
五、 -I或者--inset //根据给出的规则序号,在链中插入规则。按序号的顺序插入,如是 “1”就插入链首
六、 -X或者--delete-chain //用来删除用户自定义链中规则。必须保证链中的规则都不在使用时才能删除链。如没有指定链,将删除全部自定义链中的规则。
七、 -F或者--flush //清空所选链中的全部规则。如指定链名,则删除对应链的全部规则。如没有指定链名,则删除全部链的全部规则。
八、 -N或者--new-chain //用命令中所指定的名字建立一个新链。
九、 -P或者--policy //设置链的默认目标,即策略。 与链中任何规则都不匹配的信息包将强制使用此命令中指定的策略。
十、-Z或者--zero //将指定链中的全部规则的包字节计数器清零。
五、 -I或者--inset //根据给出的规则序号,在链中插入规则。按序号的顺序插入,如是 “1”就插入链首
六、 -X或者--delete-chain //用来删除用户自定义链中规则。必须保证链中的规则都不在使用时才能删除链。如没有指定链,将删除全部自定义链中的规则。
七、 -F或者--flush //清空所选链中的全部规则。如指定链名,则删除对应链的全部规则。如没有指定链名,则删除全部链的全部规则。
八、 -N或者--new-chain //用命令中所指定的名字建立一个新链。
九、 -P或者--policy //设置链的默认目标,即策略。 与链中任何规则都不匹配的信息包将强制使用此命令中指定的策略。
十、-Z或者--zero //将指定链中的全部规则的包字节计数器清零。
测试说明
[linux1]iptables -t filter -P INPUT ACCEPT 设置 INPUT链中的默认规则为ACCEPT
[linux1]iptables -t filter -L INPUT 查看filter中INPUT链的规则
[linux1]iptables -t filter -D INPUT 1 删除表filter中INPUT链的第一条规则
[linux1]iptables -t filter -I INPUT 2 -p icmp -j DROP 插入规则,放在第二条,拒绝icmp协议进入linux
[linux1]iptables -t filter -R INPUT 2 -p icmp -j ACCEPT 替换INPUT链中的规则,
[linux1]iptables -t filter -F INPUT //清空INPUT链中的全部规则
(三) match 匹配
分为四大类:通用匹配、隐含匹配、显示匹配、针对非正常包的匹配
一、通用匹配
不管咱们使用何种协议,装入何种扩展,通用匹配均可以使用。不须要前提条件
(1) -p(小写)或--protocol
用来检查某些特定协议。协议有TCPUDPICMP三种。可用逗号分开这三种协议的任何组合。也可用“!”号进行取反,表示除该协议外的剩下的协议。也可用all表示所有协议。默认是all,但只表明tcpudpicmp三种协议。
$ iptable -A INPUT -p TCP,UDP
$ iptable -A INPUT -p ! ICMP //这两种表示的意思为同样的。
(2) -s 或 --source
以Ip源地址匹配包。根据源地址范围肯定是否容许或拒绝数据包经过过滤器。可以使用 “!”符号。默认是匹配全部ip地址。
但是单个Ip地址,也能够指定一个网段。 如: 192.168.1.1/255.255.255.255 表示一个地址。 192.168.1.0/255.255.255.0 表示一个网段。
(3) -d 或 --destination
用目的Ip地址来与它们匹配。与 source 的格式用法同样
分为四大类:通用匹配、隐含匹配、显示匹配、针对非正常包的匹配
一、通用匹配
不管咱们使用何种协议,装入何种扩展,通用匹配均可以使用。不须要前提条件
(1) -p(小写)或--protocol
用来检查某些特定协议。协议有TCPUDPICMP三种。可用逗号分开这三种协议的任何组合。也可用“!”号进行取反,表示除该协议外的剩下的协议。也可用all表示所有协议。默认是all,但只表明tcpudpicmp三种协议。
$ iptable -A INPUT -p TCP,UDP
$ iptable -A INPUT -p ! ICMP //这两种表示的意思为同样的。
(2) -s 或 --source
以Ip源地址匹配包。根据源地址范围肯定是否容许或拒绝数据包经过过滤器。可以使用 “!”符号。默认是匹配全部ip地址。
但是单个Ip地址,也能够指定一个网段。 如: 192.168.1.1/255.255.255.255 表示一个地址。 192.168.1.0/255.255.255.0 表示一个网段。
(3) -d 或 --destination
用目的Ip地址来与它们匹配。与 source 的格式用法同样
[linux1]iptables -t filter -I FORWARD -p tcp -s 192.168.80.100/32 -d 192.168.10.200/32 --dport 3389 -jDROP(拒绝IP地址为80.100,XP远程win2003.目标端口是3389)
(4)-i 或 --in-interface
指定数据包从哪一个网络接口进入。只能用INPUT FORWARD PREROUTING 三个链中。用在其余任何链中都会出错。可以使用“+” “!”两种符号。
只用一个“+"号,表示匹配全部的包,不考虑使用哪一个接口。如: iptable -A INPUT -i + //表匹配全部的包。
放在某类接口后面,表示全部此类接口相匹配。如: iptable -A INPUT -i eth+ //表示匹配全部ethernet 接口。
(4)-i 或 --in-interface
指定数据包从哪一个网络接口进入。只能用INPUT FORWARD PREROUTING 三个链中。用在其余任何链中都会出错。可以使用“+” “!”两种符号。
只用一个“+"号,表示匹配全部的包,不考虑使用哪一个接口。如: iptable -A INPUT -i + //表匹配全部的包。
放在某类接口后面,表示全部此类接口相匹配。如: iptable -A INPUT -i eth+ //表示匹配全部ethernet 接口。
[linux1]iptables -t filter -I INPUT 2 -p icmp -i eth1 -j DROP 插入规则,拒绝icmp协议从eth1进入linux ( 使用xp ping linux1不通,使用xp ping win2003通(使用的是FORWARD),)
(5) -o --out-interface
指定数据包从哪一个网络接口输出。与-i同样的使用方法。只能用OUTPUT FORWARD POSTROUTING 三个链中。用在其余任何链中都会出错.可以使用“+” “!”两种符号。
(6) -f ( --fragment )
用来匹配一个被分片的包的第二片或之后的部分。因一个数据包被分红多片之后,只有第一片带有源或目标地址。后面的都不带 ,因此只能用这个来匹配。可防止碎片攻击。
二、隐含匹配
这种匹配是隐含的,自动的载入内核的。如咱们使用 --protocol tcp 就能够自动匹配TCP包相关的特色。
分三种不一样协议的隐含匹配:tcp udp icmp
1 tcp
tcp match 只能隐含匹配TCP包或流的细节。但必须有 -p tcp 做为前提条件。
TCP --sport
基于tcp包的源端口匹配包 ,不指定此项则表示全部端口。
iptable -A INPUT -p TCP --sport 22:80 //TCP源端口号22到80之间的全部端口。
iptable -A INPUT -p TCP --sport 22: //TCP源端口号22到65535之间的全部端口。
TCP --dport
基于tcp包的目的端口来匹配包。 与--sport端口用法同样。
TCP --flags
匹配指定的TCP标记。
iptable -p TCP --tcp-flags SYN,FIN,ACK SYN
2 UDP match
UDP --sport
基于UDP包的源端口匹配包 ,不指定此项则表示全部端口。
UDP --dport
基于UDP包的目的端口匹配包 ,不指定此项则表示全部端口。
3 -m icmp --icmp-type
根据ICMP类型包匹配。类型 的指定可使用十进制数或相关的名字,不一样的类型,有不一样的ICMP数值表示。也能够用“!”取反。
(5) -o --out-interface
指定数据包从哪一个网络接口输出。与-i同样的使用方法。只能用OUTPUT FORWARD POSTROUTING 三个链中。用在其余任何链中都会出错.可以使用“+” “!”两种符号。
(6) -f ( --fragment )
用来匹配一个被分片的包的第二片或之后的部分。因一个数据包被分红多片之后,只有第一片带有源或目标地址。后面的都不带 ,因此只能用这个来匹配。可防止碎片攻击。
二、隐含匹配
这种匹配是隐含的,自动的载入内核的。如咱们使用 --protocol tcp 就能够自动匹配TCP包相关的特色。
分三种不一样协议的隐含匹配:tcp udp icmp
1 tcp
tcp match 只能隐含匹配TCP包或流的细节。但必须有 -p tcp 做为前提条件。
TCP --sport
基于tcp包的源端口匹配包 ,不指定此项则表示全部端口。
iptable -A INPUT -p TCP --sport 22:80 //TCP源端口号22到80之间的全部端口。
iptable -A INPUT -p TCP --sport 22: //TCP源端口号22到65535之间的全部端口。
TCP --dport
基于tcp包的目的端口来匹配包。 与--sport端口用法同样。
TCP --flags
匹配指定的TCP标记。
iptable -p TCP --tcp-flags SYN,FIN,ACK SYN
2 UDP match
UDP --sport
基于UDP包的源端口匹配包 ,不指定此项则表示全部端口。
UDP --dport
基于UDP包的目的端口匹配包 ,不指定此项则表示全部端口。
3 -m icmp --icmp-type
根据ICMP类型包匹配。类型 的指定可使用十进制数或相关的名字,不一样的类型,有不一样的ICMP数值表示。也能够用“!”取反。
类型 8 echo-request 请求
类型0 echo-reply
[linux1] iptables -t filter -I FORWARD -s 192.168.10.0/24 -d 192.168.80.0/24 -p icmp -m icmp --icmp-type 8 -j DROP 拒绝win2003与xp新建会话。xp向2003是容许的。
[linux1] iptables -t filter -I FORWARD -s 192.168.10.0/24 -d 192.168.80.0/24 -p icmp -m icmp --icmp-type 8 -j DROP 拒绝win2003与xp新建会话。xp向2003是容许的。
[linux1] iptables -t filter -I INPUT -p icmp -m icmp --icmp-type echo-request -j DROP 拒绝ping linux1 ,单向的。
三、显示匹配
显示匹配必须用 -m装 载。
三、显示匹配
显示匹配必须用 -m装 载。
(0)-m state --state 基于状态的数据包。--state {NEW,ESTATBLISHED,INVALID,RELATED} 指定检测那种状态
NEW:表示该封包想要开始一个新的链接
ESTATBLISHED:表示该封包属于某个已经创建的链接。
INVALID:表示该封包的链接编号没法辨识或编号不正确。
RELATED:表示该封包属于某个已经创建的链接,所创建的新链接。例如 FTP 链接一定是源自某个 FTP链接。先21链接,再22链接。
[linux1]iptables -t filter -I FORWARD -s 192.168.10.0/24 -d 192.168.80.0/24 -m state --state NEW -j DROP 拒绝win2003与xp新建会话(单向拒绝)。xp向2003是容许的。
[linux1]iptables -t filter -I OUTPUT -m state --state NEW -j DROP (linux1禁止主动与客户端口创建会话, 客户端口能够与lunux1创建会话)
(1)-m limit
必须用 -m limit 明确指出。 能够对指定的规则的匹配次数加以限制。即,当某条规则匹配到必定次数后,就再也不匹配。也就是限制可匹配包的数量。这样能够防止DOS攻击。
限制方法: 设定对某条规则 的匹配最大次数。设一个限定值 。 当到达限定值之后,就中止匹配。但有个规定,在超过限制次数后,仍会每隔一段时间再增长一次匹配次数。但增长的空闲匹配数最大数量不超过最大限制次数。
--limit rate
最大平均匹配速率:可赋的值有'/second', '/minute', '/hour', or '/day'这样的单位,默认是3/hour。
(1)-m limit
必须用 -m limit 明确指出。 能够对指定的规则的匹配次数加以限制。即,当某条规则匹配到必定次数后,就再也不匹配。也就是限制可匹配包的数量。这样能够防止DOS攻击。
限制方法: 设定对某条规则 的匹配最大次数。设一个限定值 。 当到达限定值之后,就中止匹配。但有个规定,在超过限制次数后,仍会每隔一段时间再增长一次匹配次数。但增长的空闲匹配数最大数量不超过最大限制次数。
--limit rate
最大平均匹配速率:可赋的值有'/second', '/minute', '/hour', or '/day'这样的单位,默认是3/hour。
192.168.10.0网段每分种向192.168.80.0发送数据包不能超过300个。 1500字节*300=450K, 超了就拒绝。
[linux1]iptables -t filter -I FORWARD -s 192.168.10.0/24 -d 192.168.80.0/24 -m limit --limit 300/second -j ACCEPT
[linux1]iptables -t filter -A FORWARD -s 192.168.10.0/24 -d 192.168.80.0/24 -j DROP
for((i=2;i<254;i++))
do
iptables -I FORWARD -s 192.168.10.$i -j DROP
iptables -I FORWARD -s 192.168.10.$i -m limit --limit 300/sec --limit-burst 500 -j ACCEPT
done
--limit-burst number
待匹配包初始个数的最大值:若前面指定的极限还没达到这个数值,则概数字加1.默认值为5
iptable -A INPUT -m limit --limt 3/hour //设置最大平均匹配速率。也就是单位时间内,可匹配的数据包个数。 --limt 是指定隔多 长时间发一次通行证。
iptable -A INPUT -m limit --limit-burst 5 //设定刚开始发放5个通行证,也最多只可匹配5个数据包。
待匹配包初始个数的最大值:若前面指定的极限还没达到这个数值,则概数字加1.默认值为5
iptable -A INPUT -m limit --limt 3/hour //设置最大平均匹配速率。也就是单位时间内,可匹配的数据包个数。 --limt 是指定隔多 长时间发一次通行证。
iptable -A INPUT -m limit --limit-burst 5 //设定刚开始发放5个通行证,也最多只可匹配5个数据包。
前5个数据包不限速,第6个开限速。
iptables -I FORWARD -s 192.168.10.200 -d 192.168.80.100 -m limit --limit 300/sec --limit-burst 5 -j ACCEPT
容许ping 最多5个数据包。第6个将使用第二条规则来决定数据包的走向。
[linux1]iptables -t filter -I FORWARD -s 192.168.10.200 -d 192.168.80.100 -p icmp -m limit --limit-burst 5 -j ACCEPT
[linux1]iptables -A filter -I FORWARD -s 192.168.10.200 -d 192.168.80.100 -p icmp -j DROP
(2) mac 只能匹配MAC源地址。基于包的MAC源地址匹配包
,OUTPUT和POSTROUTING链上不能用。
[linux1]iptable -A FORWARD -d 192.168.80.100 -m mac --mac-source 00:00:eb:1c:24 -j DROP //MAC地址禁止访问80.100
(3) mark
以数据包被 设置的MARK来匹配包。这个值由 MARK TARGET 来设置的。
(4) -m multiport
这个模块匹配一组源端口或目标端口,最多能够指定15个端口。只能和-p tcp 或者 -p udp 连着使用。
多端口匹配扩展让咱们可以在一条规则里指定不连续的多个端口。若是没有这个扩展,咱们只能按端口来写规则了。这只是标准端口匹配的加强版。不能在一条规则里同时用标准端口匹配和多端口匹配。
(3) mark
以数据包被 设置的MARK来匹配包。这个值由 MARK TARGET 来设置的。
(4) -m multiport
这个模块匹配一组源端口或目标端口,最多能够指定15个端口。只能和-p tcp 或者 -p udp 连着使用。
多端口匹配扩展让咱们可以在一条规则里指定不连续的多个端口。若是没有这个扩展,咱们只能按端口来写规则了。这只是标准端口匹配的加强版。不能在一条规则里同时用标准端口匹配和多端口匹配。
三个选项: --source-ports ; --destination-ports ; --ports
[linux1]iptables -t filter -I FORWARD -p tcp -s 192.168.10.0/24 -d 192.168.80.0/24 -m multiport --source-ports 1:1022,3389 -j DROP 拒绝1到1024 和3389链接。
iptable -A INPUT -p TCP -m multiport --sport 1:1024,115
iptable -A INPUT -p TCP -m multiport --dport 22,28,115
iptable -A INPUT -p TCP -m multiport --port 22,28,115
iptable -A INPUT -p TCP -m multiport --sport 1:1024,115
iptable -A INPUT -p TCP -m multiport --dport 22,28,115
iptable -A INPUT -p TCP -m multiport --port 22,28,115
(5) -m iprange 指定地址范围 --src-range ip-ip --dst-range ip-ip
[linux1]iptables -t filter -I FORWARD -m iprange --src-range 192.168.80.1-192.168.80.100 -j DROP 拒绝192.168.80.1-192.168.80.100访问
(6) -m connlimit限制最大链接个数。 --connlimit-above
(6) -m connlimit限制最大链接个数。 --connlimit-above
[linux1]iptables -t filter -I FORWARD -p tcp --dport 3389 -s 192.168.80.100 -d 192.168.10.200 -m connlimit --connlimit-above 2 -j DROP 拒绝超过2个以上的远程会话。
(7) ttl match
根据IP头里的TTL字段来匹配包。
用来更改包的TTL,有些ISP根据TTL来判断是否是有多台机器共享链接上网。
iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 64
iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-dec 1
# 离开防火墙的时候实际上TTL已经-2了,由于防火墙自己要-1一次。
iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1
# 离开防火墙的时候不增不减,tracert就很差用了,呵呵。
(8) owner match
基于包的生成者(即全部者或拥有者)的ID来匹配包。
owner 能够是启动进程的用户的ID,或用户所在的级的ID或进程的ID,或会话的ID。此只能用在OUTPUT 中。
此模块设为本地生成包匹配包建立者的不一样特征。并且即便这样一些包(如ICMP ping应答)还可能没有全部者,所以永远不会匹配。
--uid-owner userid
若是给出有效的user id,那么匹配它的进程产生的包。
--gid-owner groupid
若是给出有效的group id,那么匹配它的进程产生的包。
--sid-owner seessionid
根据给出的会话组匹配该进程产生的包。
(7) ttl match
根据IP头里的TTL字段来匹配包。
用来更改包的TTL,有些ISP根据TTL来判断是否是有多台机器共享链接上网。
iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 64
iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-dec 1
# 离开防火墙的时候实际上TTL已经-2了,由于防火墙自己要-1一次。
iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1
# 离开防火墙的时候不增不减,tracert就很差用了,呵呵。
(8) owner match
基于包的生成者(即全部者或拥有者)的ID来匹配包。
owner 能够是启动进程的用户的ID,或用户所在的级的ID或进程的ID,或会话的ID。此只能用在OUTPUT 中。
此模块设为本地生成包匹配包建立者的不一样特征。并且即便这样一些包(如ICMP ping应答)还可能没有全部者,所以永远不会匹配。
--uid-owner userid
若是给出有效的user id,那么匹配它的进程产生的包。
--gid-owner groupid
若是给出有效的group id,那么匹配它的进程产生的包。
--sid-owner seessionid
根据给出的会话组匹配该进程产生的包。
( 四) targets/jump 指由规则指定的操做,对与规则匹配的信息包执行什么动做。
一、accept
这个参数没有任何选项。指定 -j accept 便可。
一旦满 足匹配再也不去匹配表或链内定义的其余规则。但它还可能会匹配其余表和链内的规则。即在同一个表内匹配后就到上为止,不往下继续。
二、drop
-j drop 当信息包与规则彻底匹配时,将丢弃该 包。不对它作处理。而且不向发送者返回任何信息。也不向路由器返回信息。
三、reject
与drop相同的工做方式,不一样的是,丢弃包后,会发送错误信息给发送方。
iptables -A FORWARD -p icmp -s 192.168.10.100 -j REJECT 目标端口不可到达
一旦满 足匹配再也不去匹配表或链内定义的其余规则。但它还可能会匹配其余表和链内的规则。即在同一个表内匹配后就到上为止,不往下继续。
二、drop
-j drop 当信息包与规则彻底匹配时,将丢弃该 包。不对它作处理。而且不向发送者返回任何信息。也不向路由器返回信息。
三、reject
与drop相同的工做方式,不一样的是,丢弃包后,会发送错误信息给发送方。
iptables -A FORWARD -p icmp -s 192.168.10.100 -j REJECT 目标端口不可到达
iptables -A FORWARD -p icmp -s 192.168.10.100 -j DROP 超时。
四、DNAT
用在prerouting链上。
作目的网络地址转换的。就是重写目的的IP地址。
若是一个包被匹配,那么和它属于同一个流的全部的包都会被自动转换。而后能够被路由到正确的主机和网络。
也就是如同防火墙的外部地址映射。把外部地址映射到内部地址上。
iptables -t nat -A PREROUTING -d 218.104.235.238 -p TCP --dport 110,125 -j DNAT --to-destination 192.168.9.1
//把全部访问218.104.235.238地址 110.125端口的包所有转发到 192.168.9.1上。
--to-destination //目的地重写
五、SNAT
用在nat 表的postrouting链表。这个和DNAT相反。是作源地址转换。就是重写源地址IP。 经常使用在内部网到外部网的转换。
--to-source
iptables -t nat POSTROUTING -o eth0 -p tcp -j SNAT --to-source 218.107.248.127 //从eth0接口往外发的数据包都把源地址重写为218.107.248.127
********************
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.9
# 将全部的访问15.45.23.67:80端口的数据作DNAT发到192.168.1.9:80
若是和192.168.1.9在同一内网的机器要访问15.45.23.67,防火墙还须要作设置,改变源IP为防火墙内网IP 192.168.1.1。不然数据包直接发给内网机器,对方将丢弃。
iptables -t nat -A POSTROUTING -p tcp --dst 15.45.23.67 --dport 80 -j SNAT --to-source 192.168.1.1
# 将全部的访问15.45.23.67:80端口的数据包源IP改成192.168.1.1
若是防火墙也须要访问15.45.23.67:80,则须要在OUTPUT链中添加,由于防火墙本身发出的包不通过PREROUTING。
iptables -t nat -A OUTPUT --dst 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.9
********************
六、MASQUERADE
masquerade 的做用和 SNAT的做用是同样的。 区别是,他不须要指定固定的转换后的IP地址。专门用来设计动态获取IP地址的链接的。
MASQUERADE的做用是,从服务器的网卡上,自动获取当前ip地址来作NAT
如家里的ADSL上网,外网的IP地址不是固定的,你没法固定的设定NAT转换后的IP地址。这时就须要用masquerade来动态获取了。
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j masquerade //即把192.168.1.0 这个网段的地址都重写为动态的外部IP地址。
七、REDIRECT
只能在NAT表中的PREROUTING OUTPUT 链中使用
在防火墙所在的机子内部转发包或流到另外一个端口。好比,咱们能够把全部去往端口HTTP的包REDIRECT到HTTP proxy(例如squid),固然这都发生在咱们本身的主机内部。
--to-ports
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
不使用这个选项,目的端口不会被改变。
指定一个端口,如--to-ports 8080
指定端口范围,如--to-ports 8080-8090
八、RETURN
顾名思义,它使包返回上一层,顺序是:子链——>父链——>缺省的策略。具体地说,就是若包在子链中遇到了RETURN,则返回父链的下一条规则继续进行条件的比较,如果在父链(或称主链,好比INPUT)中遇到了RETURN,就要被缺省的策略(通常是ACCEPT或DROP)操做了。(译者注:这很象C语言中函数返回值的状况)
九、MIRROR
颠倒IP头中的源地址与目的地址,再转发。
十、LOG
在内核空间记录日志,dmesg等才能看。/var/log/messages
四、DNAT
用在prerouting链上。
作目的网络地址转换的。就是重写目的的IP地址。
若是一个包被匹配,那么和它属于同一个流的全部的包都会被自动转换。而后能够被路由到正确的主机和网络。
也就是如同防火墙的外部地址映射。把外部地址映射到内部地址上。
iptables -t nat -A PREROUTING -d 218.104.235.238 -p TCP --dport 110,125 -j DNAT --to-destination 192.168.9.1
//把全部访问218.104.235.238地址 110.125端口的包所有转发到 192.168.9.1上。
--to-destination //目的地重写
五、SNAT
用在nat 表的postrouting链表。这个和DNAT相反。是作源地址转换。就是重写源地址IP。 经常使用在内部网到外部网的转换。
--to-source
iptables -t nat POSTROUTING -o eth0 -p tcp -j SNAT --to-source 218.107.248.127 //从eth0接口往外发的数据包都把源地址重写为218.107.248.127
********************
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.9
# 将全部的访问15.45.23.67:80端口的数据作DNAT发到192.168.1.9:80
若是和192.168.1.9在同一内网的机器要访问15.45.23.67,防火墙还须要作设置,改变源IP为防火墙内网IP 192.168.1.1。不然数据包直接发给内网机器,对方将丢弃。
iptables -t nat -A POSTROUTING -p tcp --dst 15.45.23.67 --dport 80 -j SNAT --to-source 192.168.1.1
# 将全部的访问15.45.23.67:80端口的数据包源IP改成192.168.1.1
若是防火墙也须要访问15.45.23.67:80,则须要在OUTPUT链中添加,由于防火墙本身发出的包不通过PREROUTING。
iptables -t nat -A OUTPUT --dst 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.9
********************
六、MASQUERADE
masquerade 的做用和 SNAT的做用是同样的。 区别是,他不须要指定固定的转换后的IP地址。专门用来设计动态获取IP地址的链接的。
MASQUERADE的做用是,从服务器的网卡上,自动获取当前ip地址来作NAT
如家里的ADSL上网,外网的IP地址不是固定的,你没法固定的设定NAT转换后的IP地址。这时就须要用masquerade来动态获取了。
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j masquerade //即把192.168.1.0 这个网段的地址都重写为动态的外部IP地址。
七、REDIRECT
只能在NAT表中的PREROUTING OUTPUT 链中使用
在防火墙所在的机子内部转发包或流到另外一个端口。好比,咱们能够把全部去往端口HTTP的包REDIRECT到HTTP proxy(例如squid),固然这都发生在咱们本身的主机内部。
--to-ports
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
不使用这个选项,目的端口不会被改变。
指定一个端口,如--to-ports 8080
指定端口范围,如--to-ports 8080-8090
八、RETURN
顾名思义,它使包返回上一层,顺序是:子链——>父链——>缺省的策略。具体地说,就是若包在子链中遇到了RETURN,则返回父链的下一条规则继续进行条件的比较,如果在父链(或称主链,好比INPUT)中遇到了RETURN,就要被缺省的策略(通常是ACCEPT或DROP)操做了。(译者注:这很象C语言中函数返回值的状况)
九、MIRROR
颠倒IP头中的源地址与目的地址,再转发。
十、LOG
在内核空间记录日志,dmesg等才能看。/var/log/messages
iptables -t filter -I FORWARD -s 192.168.10.0/24 -p tcp
iptables -t filter -I INPUT -p icmp -j --log-prefix "XXXXX" --log-prefix "XXXXX" 是添加的信息。方便查找。十一、ULOG 在用户空间记录日志。
相关文章
- 1. Centos iptables-config 配置参数说明
- 2. iptables说明(转)
- 3. netty 配置说明
- 4. log4j配置说明
- 5. Nginx配置说明
- 6. OLT配置说明
- 7. Kafka配置说明
- 8. elasticsearch.yml 配置说明
- 9. Dockerfile配置说明
- 10. nginx 配置说明
- 更多相关文章...
- • Eclipse 窗口说明 - Eclipse 教程
- • PHP EOF(heredoc) 使用说明 - PHP教程
- • IntelliJ IDEA 代码格式化配置和快捷键
- • IDEA下SpringBoot工程配置文件没有提示
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. Centos iptables-config 配置参数说明
- 2. iptables说明(转)
- 3. netty 配置说明
- 4. log4j配置说明
- 5. Nginx配置说明
- 6. OLT配置说明
- 7. Kafka配置说明
- 8. elasticsearch.yml 配置说明
- 9. Dockerfile配置说明
- 10. nginx 配置说明