iptables基本概念深刻理解

时间 2021-08-12

标签 centos markdown 网络 ssh tcp ide rest 栏目系统网络繁體版

原文原文链接

iptables解析

通常centos系统（即使是mini版）会默认会安装iptables rpm包，这个rpm包括了iptables运行时的动态连接库，以及建立规则的命令（iptables/iptables-save/iptables-restore）等等，那么有此包以后即可以进行端口转发NAT、过滤filter等规则，默认安装之iptables rpm包后是没有任何防火墙规则，即没有任何防火墙规则限制，经过iptables作规则以后便可生效，而且经过iptables-save能够将规则输出终端进行查看，可是此种方法重启后将失效，须要将规则命令写入开机启动/etc/rc.local重启后依然生效，同时加入echo 1 > /proc/sys/net/ipv4/ip_forward ，注意：须要执行chmod +x /etc/rc.d/rc.localcentos

若是要使用iptables作为系统的一个服务使用，则同时须要安装iptables和iptables-services的rpm包，iptables-services的rpm包包括iptables服务的运行文件，默认安装这两个包以后即可以使用iptables服务，systemctl start iptables或者service start iptables，服务启动后默认会生成一些默认的防火墙配置，如默认规则为INPUT链容许icmp和22端口的网络协议包经过，其余数据包均不能经过（iptables-services-1.4.2的默认规则，其余版本可能有不同），能够在/etc/sysconfig/iptables查看到iptables的配置，即可以经过服务去管理iptables的相应规则。
总结为：只有iptables rpm包的时候也能作nat filter等策略，写多少，生效多少，规则保存在内和缓冲区，重启失效，写入开机启动则永久生效。有iptables及iptables-service rpm包的时候能够启动iptables服务，启动服务后，会有默认配置（默认规则为INPUT链容许icmp和22端口的网络协议包经过，其余数据包均不能经过）在此默认配置上再本身手动增长再保存，再重启iptables服务来写入内核，永久生效，经过服务区管理防火墙规则。markdown

iptables保存规则

iptables-save, service iptables save 做用同样，只不过iptables-save须要手动指定路径及文件名，若是不指定文件名，则结果输出在终端，重启以后失效，而service iptables save的文件为/etc/sysconfig/iptables。默认iptables新建的规则保存在规则缓冲区中，用iptables -F 或iptables -X会清空规则缓冲区的内容；若是须要保存则service iptables save，重启系统或systemctl restart iptables或service restart iptables则永久生效，不保存的话重启iptables不影响，重启机器失效，没有装iptables-services服务来管理的话须要将缓冲区的策略写入开机启动。网络

iptables恢复规则

iptables-restore, service iptables restore 做用同样，只不过iptables-restore须要手动指定路径及文件名，而service iptables restore的文件为/etc/sysconfig/iptablesssh

实例

iptables作端口转发访问192.168.240.129的22022端口转发至192.168.240.130的22端口，此种状况下若是不能直接ssh 192.168.240.130，可是能够访问192.168.240.129，能够经过129作跳板端口转发去ssh192.168.240.130。
iptables -t nat -A PREROUTING -d 192.168.240.129 -p tcp -m tcp --dport 22022 -j DNAT --to-destination 192.168.240.130:22
// DNAT作端口映射，在192.168.240.129 prerouting链上全部发往192.168.240.129 22022的包都转发至192.168.240.130:22
iptables -t nat -A POSTROUTING -d 192.168.240.130 -p tcp -m tcp --dport 22 -j SNAT --to-source 192.168.240.129
// SNAT作出口访问转发，在POSTROUTING链上未来自192.168.240.130:22的包所有从192.168.240.129网卡的POSTROUTING转发出去 tcp