从CentOS7(RHEL7)开始,官方的标准防火墙设置软件从iptables变更为firewalld,但是我个人认为对iptables稍加了解仍十分有必要,甚至感觉iptables就是firewalld的前端软件。
iptables的语法组成
$ iptables [-t 规则表] 命令选项 规则链 [条件匹配] [跳转动作]
规则表
iptables将对于数据包的控制分给4个规则表完成,各自在不同的场合发挥作用。它们分别是filter表、nat表、mangle表、raw表。
1.filter表
filter表负责数据包的接收或者拒绝,我们最常接触的就是它。
如果直接修改配置文件/etc/sysconfig/iptables,则常是如下格式。
*filter
#在这里编写filter的配置
COMMIT
当然你也可以使用命令来添加filter规则:
# 使用命令往filter表格中添加以下规则:直接丢弃端口80接收到的数据包
$ iptables -t filter -p tcp --dport 80 -j -DROP
因为默认的规则表就是filter,因此这部分可以省略,如下:
$ iptables -p tcp --dport 80 -j -DROP
2.nat表
所谓NAT,就是网络地址转换,主要通过修改数据包中的传输源地址和目的地址来实现。常用于将数据包根据某些规则分发到本地局域网的各台服务器上,实现负载均衡或者IP地址复用扩展。
如果直接修改配置文件/etc/sysconfig/iptables,则常是如下格式。
*nat
#在这里编写nat的配置
COMMIT
当然你也可以使用命令来添加NAT规则:
# 把访问202.103.96.112的访问转发到192.168.0.112上(PREROUTING可理解为流入的数据包)
$ iptables -t nat -A PREROUTING -d 202.103.96.112 -j DNAT --to-destination 192.168.0.112
# 把即将要流出本机的数据的源ID地址修改成为58.20.51.66(POSTROUTING可理解为流出的数据包)
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 58.20.51.66
3.mangle表
mangle表主要负责管理各数据包处理的优先级,常用于改善通信质量,其实现方式主要是修改TOS(服务类型)的值。
如果直接修改配置文件/etc/sysconfig/iptables,则常是如下格式。
*mangle
#在这里编写mangle的配置
COMMIT
当然你也可以使用命令来添加mangle规则:
# 将80端口的通信服务类型设置为高吞吐量
$ iptables -t mangle -A PREROUTING -p tcp --dport 80 -j TOS --set-tos Maximize-Throughput
4.raw表
raw表的功能与mangle表有点类似,都是可以给特定的数据包附加标记,最常见的就是附加NOTRACK标记。也就是不经过防火墙,不对该数据包进行任何跟踪而交由其他机器负责处理。
例如,你发现机器因为大量的DNS解析服务负荷则造成通信质量下降,因此决定使用负载均衡把DNS相关的数据包交给其他服务器来处理,这时候只需要为端口53添加NOTRACK标记就可以了。
$ iptables -t raw -I PREROUTING -p udp --dport 53 -j NOTRACK
$ iptables -t raw -I OUTPUT -p udp --dport 53 -j NOTRACK
表之间的优先顺序
Raw——mangle——nat——filter
规则链
| 种类 | 说明 |
|---|---|
| INPUT | 对于输入(接受信息) |
| OUTPUT | 对于输出(发送信息) |
| FORWARD | 对于转发 |
| PREROUTING | 对于接收信息时的地址转换 |
| POSTROUTING | 对于发送信息时的地址转换 |
规则表和规则链的对照关系
| 表名 | 对应的规则链 |
|---|---|
| filter表 | INPUT、OUTPUT、FORWARD |
| nat表 | POSTROUTING、PREROUTING、OUTPUT |
| mangle表 | POSTROUTING、PREROUTING、INPUT、OUTPUT、FORWARD |
| Raw表 | PREROUTING、OUTPUT |
命令选项
| 名称 | 说明 |
|---|---|
| -A(–append) | 在指定规则链的最后增加1条规则 |
| -D(–delete) | 从指定规则链的中删除1条规则 |
| -P(–policy) | 设置指定规则链的默认策略 |
| -N(–newchain) | 自定义新的规则链 |
| -X(–deletechain) | 删除自定义规则链 |
| -I(–insert) | 从指定的位置插入一条规则 |
条件匹配
| 名称 | 说明 |
|---|---|
| -s(–source) | 设置匹配对象的源地址 |
| -d(–destination) | 设置匹配对象的目标地址 |
| -p(–protocol) | 设置匹配对象的协议类型,比如tcp、udp、icmp、all |
| -i(–in-interface) | 设置匹配对象的接收网络接口,比如eth0、eth1 |
| -o(–out-interface) | 设置匹配对象的发送网络接口,比如eth0、eth1 |
“-j”:对于匹配成功的对象执行跳转动作
| 名称 | 说明 |
|---|---|
| ACCEPT | 允许数据包通过 |
| DROP | 直接丢弃数据包,不予以回应 |
| REJECT | 发送ICMP信息以表示拒绝接收数据包 |
| REDIRECT | 重定向至某个端口 |
| LOG | 对于该数据包记录日志 |
保存规则
使用iptables命令创建的规则列表通常只保存在内存,机器重启后就会消失,我们可以使用以下命令把它保存到/etc/sysconfig/iptables文件中。
$ service iptables save
扫一扫
5264
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
