cent OS系统运行iptables命令使用介绍

admin

使用raksmart服务器centos系统的朋友可能都会用到IPtables命令，所以今天小编就给大家详细的介绍一下IPtables命令是怎么使用的，iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时，都可以使用iptables进行控制。

操作系统

一、四表五链

1.“四表”是指，iptables的功能——filter, nat, mangle, raw.
filter, 控制数据包是否允许进出及转发（INPUT、OUTPUT、FORWARD）,可以控制的链路有input, forward, output
nat, 控制数据包中地址转换，可以控制的链路有prerouting, input, output, postrouting
mangle,修改数据包中的原数据，可以控制的链路有prerouting, input, forward, output, postrouting
raw,控制nat表中连接追踪机制的启用状况，可以控制的链路有prerouting, output
2.“五链”是指内核中控制网络的NetFilter定义的五个规则链，分别为
PREROUTING, 路由前
INPUT, 数据包流入口
FORWARD, 转发管卡
OUTPUT, 数据包出口
POSTROUTING, 路由后
二、堵通政策
堵通策略是指对数据包所做的操作，一般有两种操作——一种是“通（ACCEPT）”，一种是“堵（DROP）”，还有一种操作很常见REJECT.
三、iptables命令的语法规则
iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION
-t table，是指操作的表，filter、nat、mangle或raw, 默认使用filter
COMMAND，子命令，定义对规则的管理
chain, 指明链路
CRETIRIA, 匹配的条件或标准
ACTION,操作动作
例如，不允许10.8.0.0/16网络对80/tcp端口进行访问，
iptables -A INPUT -s 10.8.0.0/16 -d 172.16.55.7 -p tcp --dport 80 -j DROP
查看iptables列表
iptables -nL
四、链管理
-N, --new-chain chain：新建一个自定义的规则链；
-X, --delete-chain [chain]：删除用户自定义的引用计数为0的空链；
-F, --flush [chain]：清空指定的规则链上的规则；
-E, --rename-chain old-chain new-chain：重命名链；
-Z, --zero [chain [rulenum]]：置零计数器；
-P, --policy chain target， 设置链路的默认策略
五.规则管理
-A, --append chain rule-specification：追加新规则于指定链的尾部；
-I, --insert chain [rulenum] rule-specification：插入新规则于指定链的指定位置，默认为首部；
-R, --replace chain rulenum rule-specification：替换指定的规则为新的规则；
-D, --delete chain rulenum：根据规则编号删除规则；
六.查看规则
-L, --list [chain]：列出规则；
-v, --verbose：详细信息；
-vv， -vvv 更加详细的信息
-n, --numeric：数字格式显示主机地址和端口号；
-x, --exact：显示计数器的精确值；
--line-numbers：列出规则时，显示其在链上的相应的编号；
-S, --list-rules [chain]：显示指定链的所有规则；
查看规则的一般内容：

代码

七.匹配条件
通用匹配条件：
[!] -s, --source address[/mask][,...]：检查报文的源IP地址是否符合此处指定的范围，或是否等于此处给定的地址；
[!] -d, --destination address[/mask][,...]：检查报文的目标IP地址是否符合此处指定的范围，或是否等于此处给定的地址；
[!] -p, --protocol protocol：匹配报文中的协议，可用值tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp, mh 或者 "all", 亦可以数字格式指明协议；
[!] -i, --in-interface name：限定报文仅能够从指定的接口流入；only for packets entering the INPUT, FORWARD and PREROUTING chains.
[!] -o, --out-interface name：限定报文仅能够从指定的接口流出；for packets entering the FORWARD, OUTPUT and POSTROUTING chains.
匹配条件分为通用匹配条件和扩展匹配条件，因为太多小编就不赘述了，大家有兴趣的话也可以去详细的学习一下，学习不易，其行且珍惜！

声明:本文转载自网络。版权归原作者所有,如有侵权请联系删除。