Linux网络管理【iptables指南]】

Linux网络管理：iptables指南

Linux服务器的网络安全和流量管理常常依赖于强大而灵活的工具iptables。本文将深入探讨iptables的使用方法，包括如何设置DNAT规则以及执行常规的流量控制任务。

1. DNAT规则的配置

目的网络地址转换（DNAT）是网络地址转换的一种形式，常用于将流量从一个IP地址重定向到另一个IP地址。例如，如果你想将所有发往特定公网IP地址的流量重定向到本机（127.0.0.1），可以使用iptables实现。

如何添加DNAT规则

要添加DNAT规则，可以使用以下命令：

sudo iptables -t nat -A OUTPUT -d 120.211.228.71 -j DNAT --to-destination 127.0.0.1

这条命令的组成部分如下：

-t nat: 指明要操作的表是nat。
-A OUTPUT: 将规则添加到OUTPUT链，这影响本机发起的出站流量。
-d 120.211.228.71: 指定目的IP地址为120.211.228.71。
-j DNAT: 指明执行动作为DNAT。
–to-destination 127.0.0.1: 将流量的目的地更改为127.0.0.1。

查看规则

要查看当前的nat表规则，可以使用：

sudo iptables -t nat -L -v

这将列出所有的NAT规则，包括你刚刚添加的。

删除规则

要查看当前的nat表规则，可以使用：

sudo iptables -t nat -D 【number,要删除的序号】

这将列出所有的NAT规则，包括你刚刚添加的。

持久化规则

iptables规则在重启后默认不会保存。你需要使用工具如iptables-save（对于Debian/Ubuntu系统）或服务命令（对于Red Hat/CentOS系统）来保存规则：

sudo iptables-save > /etc/iptables/rules.v4

对于Red Hat/CentOS系统，可能需要使用：

sudo service iptables save

2. 常规 IPTABLES 用法

iptables不仅仅用于DNAT，还可以用于各种网络流量控制和管理任务。

查看当前规则

要查看所有当前规则，使用：

sudo iptables -L

要获取更详细的输出，包括每条规则的数据包和字节计数，使用：

sudo iptables -L -v

添加新规则

开放特定端口（如HTTP 80端口）：

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

拒绝来自特定IP的流量：

sudo iptables -A INPUT -s 192.168.1.100 -j DROP

删除规则

先查看规则编号，然后根据编号删除规则：

sudo iptables -L --line-numbers
sudo iptables -D INPUT <规则编号>

清空所有规则

要清空所有规则而不删除链本身：

sudo iptables -F

设置默认策略

例如，将INPUT链的默认策略设置为DROP：

sudo iptables -P INPUT DROP

注意事项
修改iptables规则时需具有管理员权限。
在应用新规则前，确保了解其影响，避免不必要的网络中断。
应在测试环境中验证规则配置，以确保它们如预期般工作，然后再在生产环境中部署。