RedHat 5.4 RHCE iptables & nat学习笔记

 

个人博客：http://wqmsl.blog.51cto.com——制做人：wqmsl

 

目标：1、一个SNAT和DNAT的实例。

        2、SNAT和DNATIptables的原理和命令参数语法

 一、IP说明：

eth0: 32.1.38.254（内网） eth1: 192.168.1.254（外网） ——主机名：iptables.wqmsl.com 

32.1.38.88 ——防火墙后端客户机

32.1.38.200——WEB服务器

二、前期准备

   更改主机名称(更改三处)：一、hostname更改，二、hosts更改，三、/etc/sysconfig/network

更改IP地址和dns地址信息以下：

三、所需软件包以下

 

1、下面咱们来看一下实验的总拓扑图。

咱们首先启动iptables防火墙

设置防火墙为路由模式，编辑/etc/sysctl.conf内net.ipv4.ip_forward = 0值改为1

或者能够修改/proc/sys/net/ipv4/ip_forward的内容为1，可是重启以后失效，因此建议仍是修改sysctl.conf的参数并更新内核。

更新系统内核参数sysctl -p（必定要用这个参数哦）

此时咱们的防火墙已经有路由的功能了

咱们直接来作实验，暂时不讲iptables的原理和命令语法了，在实验结束再说这个。

删除策略

iptables -F：清空所选链中的规则，若是没有指定链则清空指定表中全部链的规则

iptables -X：清除预设表filter中使用者自定链中的规则

iptables -Z：清除预设表filter中使用者自定链中的规则

设置预设策略

我使用的ssh连接的服务器，因此我已经添加了22端口的策略

设置默认策略为关闭filter表的INPPUT及FORWARD链，开启OUTPUT链，nat表的三个链PREROUTING、OUTPUT、POSTROUTING所有开启。

下面咱们配置SNAT，配置SNAT命令基本语法

iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 192.168.1.254 外网接口为固定IP

iptables -t nat -A POSTROUTING -o eth1 -s 32.1.38.0/24 -j MASQUERADE ——用于外网接口为动态IP地址，如ppoe接入方式。

解析：

   iptables 是命令自己

   -t 是执行表，iptables有两个表，一个是filter：过滤的表

   一个是nat，就是NAT表

   而后-A,-A的意思就是添加一条链

   这里添加的链是POSTROUTING链,就是源NAT

   -o 是出去的公网的网卡设备,咱们使用的是eth1网卡

   -s 是源地址，咱们设置内网的192.168.8.0/24网段

   -j是动做,MASQUERADE 动态源地址转换（动态IP的状况下使用）

   若是咱们使用的静态外网地址，就能够这样写

下面设置一下FORWARD的rule,容许后端主机查询DNS和浏览网页，规则以下：

这是一个基本的上网规则，最后来年两条咱们在最后讲解，它是一个跟踪状态的规则，主要是由于咱们去用目的为53端口去查询DNS记录的时候，服务器返回的信息并非也是53端口，它是1024—65535直接的任意端口，因此使用跟踪状态会方便一些。

iptables -A FORWARD -p tcp --dport 80 -j ACCEPT

iptables -A FORWARD -p tcp --dport 53 -j ACCEPT

iptables -A FORWARD -p udp --dport 53 -j ACCEPT

iptables -A FORWARD -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT

有时咱们会进行网络测试，这时咱们要容许echo-reply（报头代码为0）进入咱们的防火墙

这时咱们从防火墙能够ping任意地址，可是其余主机是ping不通咱们的防火墙，尤为是针对外网，让外网用户不知道咱们的存在，通常咱们是直接拒绝，或者是丢弃icmp报文代码为8的icmp包，这样就不回应外部主机的ping请求了。

内部ping一下防火墙，返回超时了。

咱们在防火墙上面ping后端主机和外网主机，以下图，彻底是能够的

咱们在外网主机上面ping一下防火墙试试，也是返回超时

由于后端主机属于内网，咱们常常会用来测试和网关是否已经连通，因此咱们加一条策略，容许内部主机ping网关（eth0网卡），由于后端主机属于可信赖区域，因此，你能够添加策略容许全部数据从eth0进入（INPUT），我这里就开启关键的几个端口和协议，例如：22端口、icmp等其余的拒绝掉。

如上图添加这条策略后，后端主机就能够去ping本身的网关了

以上的操做完成以后，后端主机应该是能够上网了，咱们去试试

在后端主机是彻底能够解析到互联网地址的

若是须要接收邮件还须要开启以下的端口，-m multiport 匹配多个端口

iptables -A FORWARD -p tcp -m multiport --dport 25,110,143,993,995 -j ACCEPT

我更改一下POSTROUTING的规则，使其外接口为动态IP地址

为了模拟ppoe/dhcp的动态IP，我手动更改一下IP地址试试看后端主机是否是还可以上网

IP 改成192.168.1.45，但仍是没有任何影响，能够正常上网

这里有一点要注意的就是：MASQUERADE和SNAT做用同样的，都是提供源地址转换的操做，MASQUERADE是针对外部接口为动态IP地址来设置滴，不须要使用--to-source指定转换的IP地址。若是网络采用的动态获取IP地址的链接，好比ADSL拨号、DHCP链接等，那么建议使用MASQUERAD

  还有须要注意的一点就是，咱们使用ppoe和DHCP接入互联网的时候不要在网络接口的配置文件、network文件里写上网关，不然肯能会出现两个网关，容易出错。

下面要作的就是DNAT

咱们内部有一个WEB服务器，外网用户须要访问，其实就是内网发布服务器到互联网，此时就须要作DNAT了，一条命令就搞定哦

配置DNAT命令基本语法

iptables -t nat -A PREROUTING -i 网络接口 -p 协议 --dport 端口 -j DNAT --to  IP地址:端口

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 32.1.38.200:80

eth1为防火墙公网接口，这个规则必须在PREROUTING里的

若是要求与 80 联机的封包转递到 内网8080 这个 port的话，添加以下策略

iptables -t nat -A PREROUTING -p tcp  --dport 80  -j REDIRECT --to-ports 8080

例如：使用 8080 这个 port 来启动 WWW ，可是别人都以 port 80 来联机，因此，这样可使用上面的方式来将对方对您防火墙的联机传递到内网的8080 端口WEB服务器了。

添加策略后，看看现有的策略：

在内网客户机访问内部WEB服务器的网站，直接使用的是内部WEB服务器的IP地址

咱们在外网访问，这个时候咱们访问的地址应该是防火墙的eth1（外部网卡）的地址，咱们这里不涉及DNS，因此就直接用IP地址来访问，以下：我在IP为192.168.1.88的主机上访问，能够成功的访问内部WEB服务器，说明个人内部WEB服务器发布成功了

保存iptables配置

iptables-save

重定向规则到nat.ipt文件

iptables-save > nat.ipt

恢复iptables配置

iptables-restore < nat.ipt

服务或系统重启后依然生效

service iptables save

下面说一下icmp协议中的ping

ICMP类型：echo reply 响应应答——0 ping 其余主机的时候返回来的信息

           echo request 响应请求——8 其余主机ping本机的时候对其余主机的响应回答，通常隐藏此类报文，公网主机不知道咱们的存在

到这里咱们的DNAT和SNAT的实验都作完了

 

 

 

*******************************************************************************

2、Iptables的原理和命令参数语法

如下内容来自互联网资料进行整理合并，非本人原创

*******************************************************************************

Iptables原理

 

如今防火墙主要分如下三种类型：包过滤、应用代理、状态检测

包过滤防火墙：如今静态包过滤防火墙市面上已经看不到了，取而代之的是动态包过滤技术的防火墙

代理防火墙：因一些特殊的报文***能够轻松突破包过滤防火墙的保护，好比你们知道的SYN***、ICMP洪水***,因此以代理服务器做为专门为用户保密或者突破访问限制的数据转发通道的应用代理防火墙出现了哈~其使用了一种应用协议分析的新技术。

状态检测防火墙：其基于动态包过滤技术发展而来，加入了一种状态检测的模块，进一点发展了会话过滤功能，会话状态的保留是有时间限制的，此防火墙还能够对包的内容进行分析，从而避免开放过多的端口。

netfilter/iptables IP数据包过滤系统实际上由netfilter和iptables两个组件构成。netfilter是集成在内核中的一部分，其做用是定义、保存相应的规则，而iptables是一种工具，用来修改信息的过滤规则及其余配置，咱们能够经过iptables来设置一些适合咱们企业需求环境的规则哈~，而这些规则会保存在内核空间之中。

netfilter是Linux核心中的一个通用架构，其提供了一系列的表（tables）,每一个表由若干个链（chains）组成，而每条链能够由一条或若干条规则（rules）组成。实际上netfilter是表的容器，表是链的容器，而链又是规则的容器。

filter 表的系统 chain： INPUT，FORWAD，OUTPUT

nat 表的系统 chain： PREROUTING，POSTROUTING，OUTPUT

mangle 表的系统 chain： PREROUTING，OUTPUT

filter：主要跟 Linux 本机有关，这个是预设的 table ！ 

  INPUT：主要与封包想要进入咱们 Linux 本机有关，过路由表后目的地为本机 

  OUTPUT：主要与咱们 Linux 本机所要送出的封包有关； 

  FORWARD：这个咚咚与 Linux 本机比较没有关系，他能够封包『转递』到后端的计算机中，与 nat 这个 table 相关性很高。

nat：这个表格主要在用做来源与目的之 IP 或 port 的转换， 与 Linux 本机较无关，主要与 Linux 主机后的局域网络内的计算机较有相关。

  PREROUTING：在进行路由判断以前所要进行的规则(DNAT/REDIRECT)，就是数据包进入路由表以前 

  POSTROUTING：在进行路由判断以后所要进行的规则(SNAT/MASQUERADE)，发送到出口网卡接口以前

  OUTPUT：与发送出去的封包有关，:由本机产生，向外转发

mangle：这个表格主要是与特殊的封包的路由旗标有关

早期仅有 PREROUTING 及 OUTPUT 链，不过从 kernel 2.4.18 以后加入了 INPUT 及 FORWARD 链。 因为这个表格与特殊旗标相关性较高，因此像我们这种单纯的环境当中，较少使用 mangle 这个表格。 

各个与链的相关性可使用下图来表示：

mangle不常使用，因此咱们去掉它以后的示意图以下：

SNAT, DNAT 的封包传送解析

SNAT 主要是应付内部 LAN 链接到 Internet 的使用方式，至于 DNAT 则主要用在内部主机想要架设可让 Internet 存取的服务器，实际上就是发布内网的服务器到公网上。

下面看一下SNAT和DNAT的工做的原理和过程

SNAT封包传出示意图：

如上图所示，在客户端 192.168.1.100 这部主机要联机到 http://tw.yahoo.com 去时，他的封包表头会如何变化？

1.  客户端所发出的封包表头中，来源会是 192.168.1.100 ，而后传送到 NAT 这部主机； 

2.  NAT 这部主机的内部接口 (192.168.1.2) 接收到这个封包后，会主动分析表头资料， 由于表头

数据显示目的并不是 Linux 本机，因此开始通过路由， 将此封包转到能够链接到 Internet 的

Public IP 处； 

3.  因为 private IP 与 public IP 不能互通，因此 Linux 主机透过 iptables 的 NAT table 内的

Postrouting 链将封包表头的来源假装成为 Linux 的 Public IP ，而且将两个不一样来源

(192.168.1.100 及 public IP) 的封包对应写入暂存内存当中， 而后将此封包传送出去了。

SNAT封包接受（传回）示意图:

4.  在 Internet 上面的主机接到这个封包时，会将响应数据传送给那个 Public IP 的主机； 

5.  当 Linux NAT 主机收到来自 Internet 的响应封包后，会分析该封包的序号，并比对刚刚记录到

内存当中的数据， 因为发现该封包为后端主机以前传送出去的，所以在 NAT Prerouting 链中，

会将目标 IP 修改为为后端主机，亦即那部 192.168.1.100，而后发现目标已经不是本机 (public

IP)， 因此开始透过路由分析封包流向； 

6.  封包会传送到 192.168.1.2 这个内部接口，而后再传送到最终目标 192.168.1.100 机器上去！ 

DNAT封包传送示意图：

假设个人内部主机 192.168.1.210 启动了 WWW 服务，这个服务的 port 开启在 port

80 ， 那么 Internet 上面的主机 (61.xx.xx.xx) 要如何链接到个人内部服务器呢？固然啦， 仍是得要透过 Linux NAT 主机！因此这部 Internet 上面的机器必需要链接到咱们的 NAT 的 public IP 才行。

1.外部主机想要链接到目的端的 WWW 服务，则必需要链接到咱们的 NAT 主机上头； 

2.咱们的 NAT 主机已经设定好要分析出 port 80 的封包，因此当 NAT 主机接到这个封包后， 会将目标 IP 由 public IP 改为 192.168.1.210 ，且将该封包相关信息记录下来，等待内部服务器的响应； 

3.上述的封包在通过路由后，来到 private 接口处，而后透过内部的 LAN 传送到192.168.1.210 上头！ 

4.  192.186.1.210 会响应数据给 61.xx.xx.xx ，这个回应固然会传送到 192.168.1.2 上头去； 

5.  通过路由判断后，来到 NAT Postrouting 的链，而后透过刚刚第二步骤的记录，未来源 IP 由 192.168.1.210 改成 public IP 后，就能够传送出去了！

下图为iptables的语法图：

IPTABLES 语法：

iptables从其使用的三个表（filter、nat、mangle）而得名,

对包过滤只使用 filter 表, filter仍是默认表,无需显示说明.

操做命令: 即添加、删除、更新等。

链：对于包过滤能够针对filter表中的INPUT、OUTPUT、FORWARD链，也能够操做用户自定义的链。

规则匹配器：能够指定各类规则匹配，如IP地址、端口、包类型等。

目标动做：当规则匹配一个包时，真正要执行的任务，

经常使用的有：  ACCEPT 容许包经过 、 DROP 丢弃包

一些扩展的目标还有：

  REJECT 拒绝包，丢弃包同时给发送者发送没有接受的通知

  LOG 包有关信息记录到日志

  TOS 改写包的TOS值

经常使用操做命令:

-A 或 -append 在所选链尾加入一条或多条规则

-D 或 -delete 在所选链尾部删除一条或者多条规则

-R 或 -replace 在所选链中替换一条匹配规则

-I 或 -insert 以给出的规则号在所选链中插入一条或者多条规则. 若是规则号为1,即在链头部.

-L 或 -list 列出指定链中的全部规则,若是没有指定链,将列出链中的全部规则.

-F 或 -flush 清除指定链和表中的所由规则, 假如不指定链,那么全部链都将被清空.

-N 或 -new-chain 以指定名建立一条新的用户自定义链,不能与已有链名相同.

-X 或 -delete-chain 删除指定的用户定义帘,必需保证链中的规则都不在使用时才能删除,若没有指定链,则删除全部用户链.

-P 或 -policy 为永久帘指定默认规则(内置链策略),用户定义帘没有缺省规则,缺省规则也使规则链中的最后一条规则,用-L显示时它在第一行显示.

-C 或 -check 检查给定的包是否与指定链的规则相匹配.

-Z 或 -zero 将指定帘中所由的规则包字节(BYTE)计数器清零.

-h 显示帮助信息.

******************************************************************************

经常使用匹配规则器:

-p , [!] protocol 指出要匹配的协议,能够是tcp, udp, icmp, all, 前缀!为逻辑非,表示除该协议外的全部协议.

-s [!] address[/mask] 指定源地址或者地址范围.

-sport [!] port[:port] 指定源端口号或范围,能够用端口号也能够用/ETC/SERVICES文件中的名子.

-d [!] address[/mask] 指定目的地址或者地址范围.

-dport [!] port[:port] 指定目的端口号或范围,能够用端口号也能够用/ETC/SERVICES文件中

的名子.

-icmp-type [!] typename 指定匹配规则的ICMP信息类型(可使用 iptables -p icmp -h 查看有效的ICMP类型名)

-i [!] interface name[+] 匹配单独或某种类型的接口,此参数忽略时,默认符合全部接口,接口可使用"!"来匹配捕食指定接口来的包.参数interface是接口名,如 eth0, eht1, ppp0等,指定一个目前不存在的接口是彻底合法的,规则直到接口工做时才起做用,折中指定对于PPP等相似链接是很是有用的."+"表示匹配全部此类型接口.该选项只针对于INPUT,FORWARD和PREROUTING链是合法的.

-o [!] interface name[+] 匹配规则的对外网络接口,该选项只针对于OUTPUT,FORWARD,POSTROUTING链是合法的.

[!] --syn 仅仅匹配设置了SYN位, 清除了ACK, FIN位的TCP包. 这些包表示请求初始化的TCP链接.阻止从接口来的这样的包将会阻止外来的TCP链接请求.但输出的TCP链接请求将不受影响.这个参数仅仅当协议类型设置为了TCP才能使用. 此参数可使用"!"标志匹配已存在的返回包,通常用于限制网络流量,即只容许已有的,向外发送的链接所返回的包.

如何制定永久规则集:

/etc/sysconfig/iptables 文件是 iptables 守护进程调用的默认规则集文件.

可使用如下命令保存执行过的IPTABLES命令:

/sbin/iptables-save >  /etc/sysconfig/iptables

要恢复原来的规则库,可使用:

/sbin/iptables-restore &lt;  /etc/sysconfig/iptables

iptables命令和route等命令同样,重启以后就会恢复,因此:

[root@rhlinux root]# service iptables save

将当前规则储存到 /etc/sysconfig/iptables：                 [  肯定  ]

令一种方法是 /etc/rc.d/init.d/iptables 是IPTABLES的启动脚本,因此:

[root@rhlinux root]# /etc/rc.d/init.d/iptables save

将当前规则储存到 /etc/sysconfig/iptables：                 [  肯定  ]

以上几种方法只使用某种便可.

若要自定义脚本,可直接使用iptables命令编写一个规则脚本,并在启动时执行:

例如若规则使用脚本文件名/etc/fw/rule, 则能够在/etc/rc.d/rc.local中加入如下代码:

if [-x /etc/fw/rule]; then /etc/fw/sule; fi;

这样每次启动都执行该规则脚本,若是用这种方法,建议NTSYSV中中止IPTABLES.

******************************************************************************

实例：

链基本操做：

# iptables -L -n

（列出表/链中的全部规则，包过滤防火墙默认使用的是filter表，所以使用此命令将列出filter表中全部内容，-n参数可加快显示速度，也可不加-n参数。）

iptables -F

（清除预设表filter中全部规则链中的规则）

iptables -X

（清除预设表filter中使用者自定义链中的规则）

ptables -Z

（将指定链规则中的全部包字节计数器清零）

******************************************************************************

设置链的默认策略，默认容许全部，或者丢弃全部：

# iptables -P INPUT ACCEPT

# iptables -P OUTPUT ACCEPT

# iptables -P FORWARD ACCEPT

（以上咱们在不一样方向设置默认容许策略，若丢弃则应是DROP，严格意义上防火墙应该是DROP而后再容许特定）

******************************************************************************

向链中添加规则，下面的例子是开放指定网络接口（信任接口时比较实用）：

# iptables -A INPUT -i eth1 -j ACCEPT

# iptables -A OUTPUT -o eth1 -j ACCEPT

# iptables -A FORWARD -i eth1 -j ACCEPT

# iptables -A FORWARD -o eth1 -j ACCEPT

******************************************************************************

使用用户自定义链：

# iptables -N brus

（建立一个用户自定义名叫brus的链）

# iptables -A brus -s 0/0 -d 0/0 -p icmp -j DROP

（在此链中设置了一条规则）

# iptables -A INPUT -s 0/0 -d 0/0 -j brus

（向默认的INPUT链添加一条规则，使全部包都由brus自定义链处理）

******************************************************************************

基本匹配规则实例：

匹配协议：

iptables -A INPUT -p tcp

（指定匹配协议为TCP）

iptables -A INPUT -p ! tcp

（指定匹配TCP之外的协议）

匹配地址：

iptables -A INPUT -s 192.168.1.1

（匹配主机）

iptables -A INPUT -s 192.168.1.0/24

（匹配网络）

iptables -A FORWARD -s ! 192.168.1.1

（匹配之外的主机）

iptables -A FORWARD -s ! 192.168.1.0/24

（匹配之外的网络）

匹配接口：

iptables -A INPUT -i eth0

iptables -A FORWARD -o eth0

（匹配某个指定的接口）

iptables -A FORWARD -o ppp+

（匹配全部类型为ppp的接口）

匹配端口：

iptables -A INPUT -p tcp --sport www

iptables -A INPUT -p tcp --sport 80

（匹配单一指定源端口）

iptables -A INPUT -p ucp --dport 53

（匹配单一指定目的端口）

iptables -A INPUT -p ucp --dport ! 53

（指定53端口之外）

iptables -A INPUT -p tcp --dport 22:80

（指定端口范围，这里咱们实现的是22到80端口）

******************************************************************************

指定IP碎片的处理：

# iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.1.234 --dport 80 -j ACCEPT

# iptables -A FORWARD -f -p tcp -s 192.168.1.0/24 -d 192.168.1.234 --dport 80 -j ACCEPT

# iptables -L

Chain INPUT (policy ACCEPT)

target     prot opt source               destination

Chain FORWARD (policy ACCEPT)

target     prot opt source               destination

ACCEPT     tcp  --  192.168.1.0/24       192.168.1.234      tcp dpt:http

ACCEPT     tcp  -f  192.168.1.0/24       192.168.1.234      tcp dpt:http

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

******************************************************************************

设置扩展的规测匹配：

（但愿得到匹配的简要说明，可以使用： iptables -m name_of_match --help）

多端口匹配扩展：

iptables -A INPUT -p tcp -m multiport --source-port 22,53,80

（匹配多个源端口）

iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80

（匹配多个目的端口）

iptables -A INPUT -p tcp -m multiport --port 22,53,80

（匹配多个端口，不管是源仍是目的端口）

******************************************************************************

TCP匹配扩展：

iptables -A INPUT -p tcp --tcp-flags SYN,FIN,ACK SYN

（表示SYN、ACK、FIN的标志都要被检查，可是只有设置了SYN的才匹配）

iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK

（表示ALL：SYN、ACK、FIN、RST、URG、PSH的标志都被检查，可是只有设置了SYN和ACK的才匹配）

iptables -p tcp --syn

（选项--syn是以上的一种特殊状况，至关于“--tcp-flags SYN,RST,ACK SYN”的简写）

******************************************************************************

limit速率匹配扩展：

# iptables -A FORWARD -m limit --limit 300/hour

（表示限制每小时容许经过300个数据包）

# iptables -A INPUT -m limit --limit-burst 10

（--limit-burst指定触发时间的值(默认为5)，用来比对瞬间大量数据包的数量。）

（上面的例子用来比对一次同时涌入的数据包是否超过十个，超过此上限的包将直接被丢弃）

# iptables -A FORWARD -p icmp -m limit --limit 3/m --limit-burst 3

（假设均匀经过，平均每分钟3个，那么触发值burst保持为3。若是每分钟经过的包的数目小于3，那么触发值busrt将在每一个周期(若每分钟容许经过3个，则周期数为20秒)后加1，但最大值为3。每分钟要经过的包数量若是超过3，那么触发值busrt将减掉超出的数值，例如第二分钟有4个包，那么触发值变为2，同时4个包均可以经过，第三分钟有6个包，则只能经过5个，触发值busrt变为0。以后，每分钟若是包数量小于等于3个，则触发值busrt将加1，若是每分钟包数大于3，触发值busrt将逐渐减小，最终维持为0）

（即每分钟容许的最大包数量等于限制速率(本例中为3)加上当前的触发值busrt数。任何状况下，均可以保证3个包经过，触发值busrt至关因而容许额外的包数量）

******************************************************************************

基于状态的匹配扩展（链接跟踪）：

每一个网络链接包括如下信息：源和目的地址、源和目的端口号，称为套接字对(cocket pairs)；协议类型、链接状态(TCP协议)和超时时间等。防火墙把这些叫作状态(stateful)。可以监测每一个链接状态的防火墙叫作状态宝过滤防火墙，除了能完成普通包过滤防火墙的功能外，还在本身的内存中维护一个跟踪链接状态的表，因此拥有更大的安全性。

其命令格式以下：

iptables -m state --state [!] state [,state,state,state]

state表示一个用逗号隔开的的列表，用来指定的链接状态能够有如下4种：

NEW：该包想要开始一个链接（从新链接或将链接重定向）。

RELATED：该包属于某个已经创建的链接所创建的新链接。例如FTP的数据传输链接和控制链接之间就是RELATED关系。

ESTABLISHED：该包属于某个已经创建的链接。

INVALID：该包不匹配于任何链接，一般这些包会被DROP。

例如：

# iptables -A INPUT -m state --state RELATED,ESTABLISHED

（匹配已经创建的链接或由已经创建的链接所创建的新链接。即匹配全部的TCP回应包）

# iptables -A INPUT -m state --state NEW -i ! eth0

（匹配全部从非eth0接口来的链接请求包）

下面是一个被动(Passive)FTP链接模式的典型链接跟踪

# iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT

# iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

下面是一个主动(Active)FTP链接模式的典型链接跟踪

# iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT

# iptables -A INPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

******************************************************************************

日志记录：

格式为： -j LOG --log-level 7 --log-prefix "......"

# iptables -A FORWARD -m tcp -p tcp -j LOG

# iptables -A FORWARD -m icmp -p icmp -f -j LOG

# iptables -A FORWARD -s 192.168.1.0/24 -d 10.10.10.0/24 -p tcp --sport 80 -j LOG

# iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "INPUT packet died:"

# iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New net syn:"