netfilter/iptables 指南

时间 2019-11-11

标签 netfilter iptables 指南栏目系统网络繁體版

原文原文链接

netfilter/iptables

简述历史

kernel 2.0.x IPfwadm
kernel 2.2.x IPchains
kernel 2.4.x Netfilter
kernel 3.13.x NFtables

iptables基础

netfilter/iptables 分别是内核态模块和用户态工具，管理员经过iptables给netfilter变动规则tcp

netfilter/iptables 预设的表和链

内置了五个表,分别是 filter, nat, mangle, raw, security 分别对应的内核模块是 /lib/modules/x.x.x/kernel/net/ipv4/netfilter/ 目录下的

<pre> iptable_filter.ko iptable_nat.ko iptable_mangle.ko iptable_raw.ko iptable_security.ko </pre>工具

预设了五个chain 分别是 POSTROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING 能够用经过 iptable -t table_name -L 来查看,详见 man iptables

iptables 的启用与停用

以默认的filter为例ip

<pre> 启用filter表：modprobe iptable_filter 启用filter表：modprobe -r iptable_filter </pre>it

命令基本格式

iptables 语法分红三部分：table

命令	动做	条件准则	处置方式
iptables	-A	INPUT -p tcp --dport 22	-j ACCEPT

iptables的基本操做

<pre> (iptable 命令默认约定若是 -t 参数不指定默认是 -t filter ) iptables -t filter -L # 列出filter表全部chain的规则 iptables -t filter -F # 清除全部默认 chain的规则 iptables -t filter -N # 新增自定义的chain iptables -t filter -X # 清除自定义的chain的以及对应的规则 iptables -t filter -P # </pre>基础

查看规则 iptables-save

<pre> # Generated by iptables-save v1.4.12 on Tue Apr 22 14:55:51 2014 *filter :INPUT ACCEPT [1689:106559] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1608:154769] -A INPUT -s 192.168.1.0/32 -p tcp -m multiport --dports 80 -j ACCEPT -A INPUT -p tcp -m multiport --dports 80 -j DROP COMMIT # Completed on Tue Apr 22 14:55:51 2014 # Generated by iptables-save v1.4.12 on Tue Apr 22 14:55:51 2014 *raw :PREROUTING ACCEPT [2498:166654] :OUTPUT ACCEPT [2298:219551] COMMIT # Completed on Tue Apr 22 14:55:51 2014 </pre>module