Linux下防火墙iptables用法规则详解
本篇文章来源于 Linux公社网站(www.linuxidc.com) 原文链接:http://www.linuxidc.com/Linux/2012-08/67952p3.htm
iptables 是与 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信 息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。
虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 组成。
netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否则需要下载该工具并安装使用它。
iptables规则
规则--顾名思义就是规矩和原则,和现实生活中的事情是一样的,国有国法,家有家规,所以要遵纪守法的嘛。当然在防火墙上的规则,在内核看来,规则就是决定如何处理一个包的语句。如果一个包符合所有的条件,我们就用相应的处理动作来处理。书写规则的语法格式为:
iptables [-t table] command chains [creteria] -j action
-t table就是表名,filter/nat/mangle三个表中的一个,默认是filter表
command告诉程序如何做,比如:插入一个规则,还是删除等
chains 链,有五个,PREROUTING POSTROUTING INPUT OUTPUT FORWARD
action 处理动作,有ACCEPT DENY DROP REJECT SNAT DNAT
理一下思路
下面一点点的说
一、Tables
选项-t用来指定用哪个表,它可以是下面的任何一个,默认的是filter表
二、COMMANDS
command指定iptables对我们提交的规则要做什么样的操作。这些操作可能是在某个表里增加或删除一些东西,或其他的动作。一下是iptables可用的command(如不做说明,默认表是filter)
和命令结合常用的选项
三、chains
简单说一下五个链的作用:
PREROUTING 是在包进入防火墙之后、路由决策之前做处理
POSTROUTING 是在路由决策之后,做处理
INPUT 在包被路由到本地之后,但在出去用户控件之前做处理
OUTPUT在去顶包的目的之前做处理
FORWARD在最初的路由决策之后,做转发处理
四、匹配条件
4.1 基本匹配
4.2 隐含扩展匹配
这种匹配操作是自动的或隐含的装入内核的。例如使用-p tcp时,不需要再装入任何东西就可以匹配只有IP包才有的特点。隐含匹配针对三种不同的协议,即TCP UDP ICMP。它们分别有一套适用于相应协议的判断标准
TCP匹配 只能匹配TCP包的细节,必须有-p tcp作为前提
--sport port 基于TCP包的源端口来匹配包
--dport port 基于TCP包的目的端口来匹配包
--tcp-flags tcp标志位 有两个参数列表。第一个是指定要检查的标识位;第二个是指定为1的标识位
UDP匹配
--sprot port
--dport port
ICMP匹配
--icmp-type
8 request 请求
0 reply 回复 响应