如何管理网站页面设计,网站建设找哪一家比较好,中文网址大全2345,奥联网络网站建设2019独角兽企业重金招聘Python工程师标准 Iptabels是与Linux内核集成的包过滤防火墙系统#xff0c;几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器#xff0c; 则Iptables有利于… 2019独角兽企业重金招聘Python工程师标准 Iptabels是与Linux内核集成的包过滤防火墙系统几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具可用于添加、编辑和除去规则这些规则是在做信息包过滤决定时防火墙所遵循和组成的规则。这些规则存储在专用的信 息包过滤表中而这些表集成在 Linux 内核中。在信息包过滤表中规则被分组放在我们所谓的链chain中。 虽然netfilter/iptables包过滤系统被称为单个实体但它实际上由两个组件netfilter 和 iptables 组成。 netfilter 组件也称为内核空间kernelspace是内核的一部分由一些信息包过滤表组成这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具也称为用户空间userspace它使插入、修改和除去信息包过滤表中的规则变得容易。 优点 netfilter/iptables的最大优点是它可以配置有状态的防火墙。有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信 息。在决定新的信息包过滤时防火墙所使用的这些状态信息可以增加其效率和速度。这里有四种有效状态名称分别为 ESTABLISHED 、 INVALID 、 NEW 和 RELATED 。 状态 ESTABLISHED指出该信息包属于已建立的连接该连接一直用于发送和接收信息包并且完全有效。 INVALID 状态指出该信息包与任何已知的流或连接都不相关联它可能包含错误的数据或头。状态 NEW 意味着该信息包已经或将启动新的连接或者它与尚未用于发送和接收信息包的连接相关联。最后 RELATED 表示该信息包正在启动新连接以及它与已建立的连接相关联。 netfilter/iptables的另一个重要优点是它使用户可以完全控制防火墙配置和信息包过滤。您可以定制自己的规则来满足您的特定需求从而只允许您想要的网络流量进入系统。 另外netfilter/iptables是免费的这对于那些想要节省费用的人来说十分理想它可以代替昂贵的防火墙解决方案。 原理 iptables的原理主要是对数据包的控制看下图 1 一个数据包进入网卡时它首先进入PREROUTING链内核根据数据包目的IP判断是否需要转发出去。 2 如果数据包就是进入本机的它就会沿着图向下移动到达INPUT链。数据包到了INPUT链后任何进程都会收到它。本机上运行的程序可以发送数据包这些数据包会经 过OUTPUT链然后到达POSTROUTING链输出。 3如果数据包是要转发出去的且内核允许转发数据包就会如图所示向右移动经过 FORWARD链然后到达POSTROUTING链输出。 规则、表和链 1.规则rules 规则rules其实就是网络管理员预定义的条件规则一般的定义为“如果数据包头符合这样的条件就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中这些规则分别指定了源地址、目的地址、传输协议如TCP、UDP、ICMP和服务类型如HTTP、FTP和SMTP等。当数据包与规则匹配时iptables就根据规则所定义的方法来处理这些数据包如放行accept、拒绝reject和丢弃drop等。配置防火墙的主要工作就是添加、修改和删除这些规则。 2.链chains 链chains是数据包传播的路径每一条链其实就是众多规则中的一个检查清单每一条链中可以有一条或数条规则。当一个数据包到达一个链时iptables就会从链中第一条规则开始检查看该数据包是否满足规则所定义的条件。如果满足系统就会根据该条规则所定义的方法处理该数据包否则iptables将继续检查下一条规则如果该数据包不符合链中任一条规则iptables就会根据该链预先定义的默认策略来处理数据包。 3.表tables 表tables提供特定的功能iptables内置了4个表即raw表、filter表、nat表和mangle表分别用于实现包过滤网络地址转换和包重构的功能。 1RAW表 只使用在PREROUTING链和OUTPUT链上,因为优先级最高从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在 某个链上,RAW表处理完后,将跳过NAT表和 ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. 2filter表 主要用于过滤数据包该表根据系统管理员预定义的一组规则过滤符合条件的数据包。对于防火墙而言主要利用在filter表中指定的规则来实现对数据包的过滤。Filter表是默认的表如果没有指定哪个表iptables 就默认使用filter表来执行所有命令filter表包含了INPUT链处理进入的数据包RORWARD链处理转发的数据包OUTPUT链处理本地生成的数据包在filter表中只能允许对数据包进行接受丢弃的操作而无法对数据包进行更改 3nat表 主要用于网络地址转换NAT该表可以实现一对一一对多多对多等NAT 工作iptables就是使用该表实现共享上网的NAT表包含了PREROUTING链修改即将到来的数据包POSTROUTING链修改即将出去的数据包OUTPUT链修改路由之前本地生成的数据包 4mangle表 主要用于对指定数据包进行更改在内核版本2.4.18 后的linux版本中该表包含的链为INPUT链处理进入的数据包RORWARD链处理转发的数据包OUTPUT链处理本地生成的数据包POSTROUTING链修改即将出去的数据包PREROUTING链修改即将到来的数据包 3、规则表之间的优先顺序 Raw——mangle——nat——filter 规则链之间的优先顺序分三种情况 第一种情况入站数据流向 从外界到达防火墙的数据包先被PREROUTING规则链处理是否修改数据包地址等之后会进行路由选择判断该数据包应该发往何处如果数据包 的目标主机是防火墙本机比如说Internet用户访问防火墙主机中的web服务器的数据包那么内核将其传给INPUT链进行处理决定是否允许通 过等通过以后再交给系统上层的应用程序比如Apache服务器进行响应。 第二冲情况转发数据流向 来自外界的数据包到达防火墙后首先被PREROUTING规则链处理之后会进行路由选择如果数据包的目标地址是其它外部地址比如局域网用户通过网 关访问QQ站点的数据包则内核将其传递给FORWARD链进行处理是否转发或拦截然后再交给POSTROUTING规则链是否修改数据包的地 址等进行处理。 第三种情况出站数据流向 防火墙本机向外部地址发送的数据包比如在防火墙主机中测试公网DNS服务器时首先被OUTPUT规则链处理之后进行路由选择然后传递给POSTROUTING规则链是否修改数据包的地址等进行处理。 iptables是采用规则堆栈的方式来进行过滤当一个封包进入网卡会先检查 Prerouting然后检查目的IP判断是否需要转送出去接着就会跳到INPUT 或 Forward 进行过滤如果封包需转送处理则检查 Postrouting如果是来自本机封包则检查 OUTPUT 以及Postrouting。过程中如果符合某条规则将会进行处理处理动作除了 ACCEPT、REJECT、DROP、REDIRECT 和MASQUERADE 以外还多出 LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK等其中某些处理动作不会中断过滤程序某些处理动作则会中断同一规则链的过滤并依照前述流程继续进行下一个规则链的过滤注意这一点与ipchains不同一直到堆栈中的规则检查完毕为止。透过这种机制所带来的好处是我们可以进行复杂、多重的封包过滤简单的说iptables可以进行纵横交错式的过滤tables而非链状过滤chains。ACCEPT 将封包放行进行完此处理动作后将不再比对其它规则直接跳往下一个规则链nat:postrouting。 那么如何使用iptables在以上流程中控制对数据包的处理行为呢当然是使用iptables与其相关的参数了。 1、iptables命令格式 iptables的命令格式较为复杂一般的格式如下 iptables [-t 表] -命令 匹配 操作 说明 1 -t 表 表选项用于指定命令应用于哪个iptables内置表。 2命令 命令选项用于指定iptables的执行方式包括插入规则删除规则和添加规则如下表所示 命令 说明 -P --policy 链名 定义默认策略
-L --list 链名 查看iptables规则列表
-A --append 链名 在规则列表的最后增加1条规则
-I --insert 链名 在指定的位置插入1条规则
-D --delete 链名 从规则列表中删除1条规则
-R --replace 链名 替换规则列表中的某条规则
-F --flush 链名 删除表中所有规则
-Z --zero 链名 将表中数据包计数器和流量计数器归零
-X --delete-chain 链名 删除自定义链
-v --verbose 链名 与-L他命令一起使用显示更多更详细的信息 3 匹配规则 匹配选项指定数据包与规则匹配所具有的特征包括源地址目的地址传输协议和端口号如下表所示 匹配 说明 -i --in-interface 网络接口名 指定数据包从哪个网络接口进入
-o --out-interface 网络接口名 指定数据包从哪个网络接口输出
-p ---proto 协议类型 指定数据包匹配的协议如TCP、UDP和ICMP等
-s --source 源地址或子网 指定数据包匹配的源地址--sport 源端口号 指定数据包匹配的源端口号--dport 目的端口号 指定数据包匹配的目的端口号
-m --match 匹配的模块 指定数据包规则所使用的过滤模块 iptables执行规则时是从规则表中从上至下顺序执行的如果没遇到匹配的规则就一条一条往下执行如果遇到匹配的规则后那么就执行本规则执行后根据本规则的动作(acceptrejectlogdrop等)决定下一步执行的情况后续执行一般有三种情况。 一种是继续执行当前规则队列内的下一条规则。比如执行过Filter队列内的LOG后还会执行Filter队列内的下一条规则。一种是中止当前规则队列的执行转到下一条规则队列。比如从执行过accept后就中断Filter队列内其它规则跳到nat队列规则去执行一种是中止所有规则队列的执行。 2、iptables规则的动作 前面我们说过iptables处理动作除了 ACCEPT、REJECT、DROP、REDIRECT 、MASQUERADE 以外还多出 LOG、ULOG、DNAT、RETURN、TOS、SNAT、MIRROR、QUEUE、TTL、MARK等。我们只说明其中最常用的动作 REJECT 拦阻该数据包并返回数据包通知对方可以返回的数据包有几个选择ICMP port-unreachable、ICMP echo-reply 或是tcp-reset这个数据包包会要求对方关闭联机进行完此处理动作后将不再比对其它规则直接中断过滤程序。 范例如下 iptables -A INPUT -p TCP --dport 22 -j REJECT --reject-with ICMP echo-reply DROP 丢弃数据包不予处理进行完此处理动作后将不再比对其它规则直接中断过滤程序。 REDIRECT 将封包重新导向到另一个端口PNAT进行完此处理动作后将会继续比对其它规则。这个功能可以用来实作透明代理 或用来保护web 服务器。例如 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT--to-ports 8081 MASQUERADE 改写封包来源IP为防火墙的IP可以指定port 对应的范围进行完此处理动作后直接跳往下一个规则链mangle:postrouting。这个功能与 SNAT 略有不同当进行IP 伪装时不需指定要伪装成哪个 IPIP 会从网卡直接读取当使用拨接连线时IP 通常是由 ISP 公司的 DHCP服务器指派的这个时候 MASQUERADE 特别有用。范例如下 iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 21000-31000 LOG 将数据包相关信息纪录在 /var/log 中详细位置请查阅 /etc/syslog.conf 配置文件进行完此处理动作后将会继续比对其它规则。例如 iptables -A INPUT -p tcp -j LOG --log-prefix input packet SNAT 改写封包来源 IP 为某特定 IP 或 IP 范围可以指定 port 对应的范围进行完此处理动作后将直接跳往下一个规则炼mangle:postrouting。范例如下 iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 192.168.10.15-192.168.10.160:2100-3200 DNAT 改写数据包包目的地 IP 为某特定 IP 或 IP 范围可以指定 port 对应的范围进行完此处理动作后将会直接跳往下一个规则链filter:input 或 filter:forward。范例如下 iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.10.1-192.168.10.10:80-100 MIRROR 镜像数据包也就是将来源 IP与目的地IP对调后将数据包返回进行完此处理动作后将会中断过滤程序。 QUEUE 中断过滤程序将封包放入队列交给其它程序处理。透过自行开发的处理程序可以进行其它应用例如计算联机费用.......等。 RETURN 结束在目前规则链中的过滤程序返回主规则链继续过滤如果把自订规则炼看成是一个子程序那么这个动作就相当于提早结束子程序并返回到主程序中。 MARK 将封包标上某个代号以便提供作为后续过滤的条件判断依据进行完此处理动作后将会继续比对其它规则。范例如下 iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 22 看了本文是不是对iptables参数有所了解了下文我会使用实例来更详细的说明iptables的参数的用法。 保存规则 使用iptables程序建立的规则只会保存在内存中通常我们在修改了iptables的规则重启 iptables 后之前修改的规则又消失了。那么如何保存新建立的规则呢 方法1、对于RHEL和ceontos系统可以使用service iptables save将当前内存中的规则保存到/etc/sysconfig/iptables文件中 [rootlampbo ~]# service iptables save 方法2、修改/etc/sysconfig/iptables-config 将里面的IPTABLES_SAVE_ON_STOPno, 这一句的no改为yes这样每次服务在停止之前会自动将现有的规则保存在 /etc/sysconfig/iptables 这个文件中去。 规则示例 先回顾下iptables的格式 iptables [-t table] command [match] [-j target/jump] -t 参数用来指定规则表内建的规则表有三个分别是nat、mangle 和 filter当未指定规则表时则一律视为是 filter。 各个规则表的功能如下 nat 此规则表拥有 Prerouting 和 postrouting 两个规则链主要功能为进行一对一、一对多、多对多等网址转换工作SNATDNAT由于转换的特性需进行目的地网址转换的数据包就不需要进行来源网址转换反之亦然因此为了提升改写封包的效率在防火墙运作时每个封包只会经过这个规则表一次。如果我们把数据包过滤的规则定义在这个数据表里将会造成无法对同一包进行多次比对因此这个规则表除了作网址转换外请不要做其它用途。mangle 此规则表拥有 Prerouting、FORWARD 和 postrouting 三个规则链。 除了进行网址转译工作会改写封包外在某些特殊应用可能也必须去改写数据包TTL、TOS或者是设定 MARK将数据包作记号以进行后续的过滤这时就必须将这些工作定义在 mangle 规则表中。 mangle表主要用于对指定数据包进行更改在内核版本2.4.18 后的linux版本中该表包含的链为INPUT链处理进入的数据包RORWARD链处理转发的数据包OUTPUT链处理本地生成的数据包POSTROUTING链修改即将出去的数据包PREROUTING链修改即将到来的数据包LINUX教程 centos教程 filter 这个规则表是预设规则表拥有 INPUT、FORWARD 和 OUTPUT 三个规则链这个规则表顾名思义是用来进行封包过滤的动作例如DROP、 LOG、 ACCEPT 或 REJECT我们会将基本规则都建立在此规则表中。 (一)、常用命令示例 1、命令 -A, --append 范例iptables -A INPUT -p tcp --dport 80 -j ACCEPT 说明 新增规则到INPUT规则链中规则时接到所有目的端口为80的数据包的流入连接该规则将会成为规则链中的最后一条规则。 2、命令 -D, --delete 范例iptables -D INPUT -p tcp --dport 80 -j ACCEPT 或 iptables -D INPUT 1 说明 从INPUT规则链中删除上面建立的规则可输入完整规则或直接指定规则编号加以删除。 3、命令 -R, --replace 范例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP 说明 取代现行第一条规则规则被取代后并不会改变顺序。 4、命令 -I, --insert 范例iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT 说明 在第一条规则前插入一条规则原本该位置上的规则将会往后移动一个顺位。 5、命令 -L, --list 范例 iptables -L INPUT 说明列出INPUT规则链中的所有规则。 6、命令 -F, --flush 范例 iptables -F INPUT 说明 删除INPUT规则链中的所有规则。 7、命令 -Z, --zeroLINUX教程 centos教程 范例iptables -Z INPUT 说明 将INPUT链中的数据包计数器归零。它是计算同一数据包出现次数过滤阻断式攻击不可少的工具。 8、命令 -N, --new-chain 范例 iptables -N denied 说明 定义新的规则链。 9、命令 -X, --delete-chain 范例 iptables -X denied 说明 删除某个规则链。 10、命令 -P, --policy 范例 iptables -P INPUT DROP 说明 定义默认的过滤策略。 数据包没有找到符合的策略则根据此预设方式处理。 11、命令 -E, --rename-chain 范例 iptables -E denied disallowed 说明 修改某自订规则链的名称。 二常用封包比对参数 1、参数 -p, --protocol 范例iptables -A INPUT -p tcpLINUX教程 centos教程 说明比对通讯协议类型是否相符可以使用 ! 运算子进行反向比对例如-p ! tcp 意思是指除 tcp 以外的其它类型包含udp、icmp ...等。如果要比对所有类型则可以使用 all 关键词例如-p all。 2、参数 -s, --src, --source 范例: iptables -A INPUT -s 192.168.1.100 说明用来比对数据包的来源IP可以比对单机或网络比对网络时请用数字来表示屏蔽例如-s 192.168.0.0/24比对 IP 时可以使用!运算子进行反向比对例如-s ! 192.168.0.0/24。 3、参数 -d, --dst, --destination 范例 iptables -A INPUT -d 192.168.1.100 说明用来比对封包的目的地 IP设定方式同上。 4、参数 -i, --in-interface 范例 iptables -A INPUT -i lo 说明:用来比对数据包是从哪个网卡进入可以使用通配字符 来做大范围比对如-i eth 表示所有的 ethernet 网卡也可以使用 ! 运算子进行反向比对如-i ! eth0。这里lo指本地换回接口。 5、参数 -o, --out-interface 范例iptables -A FORWARD -o eth0 说明用来比对数据包要从哪个网卡流出设定方式同上。 6、参数 --sport, --source-port 范例iptables -A INPUT -p tcp --sport 22 说明用来比对数据的包的来源端口号可以比对单一端口或是一个范围例如--sport 22:80表示从 22 到 80 端口之间都算是符合件如果要比对不连续的多个端口则必须使用 --multiport 参数详见后文。比对端口号时可以使用 ! 运算子进行反向比对。 7、参数 --dport, --destination-port 范例 iptables -A INPUT -p tcp --dport 22 说明 用来比对封包的目的地端口号设定方式同上。 8、参数 --tcp-flags 范例iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 说明比对 TCP 封包的状态标志号参数分为两个部分第一个部分列举出想比对的标志号第二部分则列举前述标志号中哪些有被设未被列举的标志号必须是空的。TCP 状态标志号包括SYN同步、ACK应答、FIN结束、RST重设、URG紧急PSH强迫推送 等均可使用于参数中除此之外还可以使用关键词 ALL 和 NONE 进行比对。比对标志号时可以使用 ! 运算子行反向比对。 9、参数 --syn 范例iptables -p tcp --syn 说明用来比对是否为要求联机之TCP 封包与 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同如果使用 !运算子可用来比对非要求联机封包。 10、参数 -m multiport --source-port 范例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110 -j ACCEPT 说明 用来比对不连续的多个来源端口号一次最多可以比对 15 个端口可以使用 ! 运算子进行反向比对。 11、参数 -m multiport --destination-port 范例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110 -j ACCEPT 说明用来比对不连续的多个目的地端口号设定方式同上。 12、参数 -m multiport --port 范例iptables -A INPUT -p tcp -m multiport --port 22,53,80,110 -j ACCEPT 说明这个参数比较特殊用来比对来源端口号和目的端口号相同的数据包设定方式同上。注意在本范例中如果来源端口号为 80目的地端口号为 110这种数据包并不算符合条件。 13、参数 --icmp-type 范例iptables -A INPUT -p icmp --icmp-type 8 -j DROP 说明用来比对 ICMP 的类型编号可以使用代码或数字编号来进行比对。请打 iptables -p icmp --help 来查看有哪些代码可用。这里是指禁止ping如但是可以从该主机ping出。 14、参数 -m limit --limit 范例iptables -A INPUT -m limit --limit 3/hour 说明用来比对某段时间内数据包的平均流量上面的例子是用来比对每小时平均流量是否超过一次3个数据包。 除了每小时平均次外也可以每秒钟、每分钟或每天平均一次默认值为每小时平均一次参数如后 /second、 /minute、/day。 除了进行数据包数量的比对外设定这个参数也会在条件达成时暂停数据包的比对动作以避免因洪水攻击法导致服务被阻断。 15、参数 --limit-burst 范例iptables -A INPUT -m limit --limit-burst 5 说明用来比对瞬间大量封包的数量上面的例子是用来比对一次同时涌入的封包是否超过 5 个这是默认值超过此上限的封将被直接丢弃。使用效果同上。 16、参数 -m mac --mac-source 范例iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 -j ACCEPT 说明用来比对数据包来源网络接口的硬件地址这个参数不能用在 OUTPUT 和 Postrouting 规则链上这是因为封包要送出到网后才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址所以 iptables 在进行封包比对时并不知道封包会送到个网络接口去。linux基础 17、参数 --mark 范例iptables -t mangle -A INPUT -m mark --mark 1 说明用来比对封包是否被表示某个号码当封包被比对成功时我们可以透过 MARK 处理动作将该封包标示一个号码号码最不可以超过 4294967296。linux基础 18、参数 -m owner --uid-owner 范例iptables -A OUTPUT -m owner --uid-owner 500 说明用来比对来自本机的封包是否为某特定使用者所产生的这样可以避免服务器使用 root 或其它身分将敏感数据传送出可以降低系统被骇的损失。可惜这个功能无法比对出来自其它主机的封包。 19、参数 -m owner --gid-owner 范例iptables -A OUTPUT -m owner --gid-owner 0 说明用来比对来自本机的数据包是否为某特定使用者群组所产生的使用时机同上。 20、参数 -m owner --pid-owner 范例iptables -A OUTPUT -m owner --pid-owner 78 说明用来比对来自本机的数据包是否为某特定行程所产生的使用时机同上。 21、参数 -m owner --sid-owner 范例 iptables -A OUTPUT -m owner --sid-owner 100 说明 用来比对来自本机的数据包是否为某特定联机Session ID的响应封包使用时机同上。 22、参数 -m state --state 范例 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 说明 用来比对联机状态联机状态共有四种INVALID、ESTABLISHED、NEW 和 RELATED。 23、iptables -L -n -v 可以查看计数器 INVALID 表示该数据包的联机编号Session ID无法辨识或编号不正确。ESTABLISHED 表示该数据包属于某个已经建立的联机。NEW 表示该数据包想要起始一个联机重设联机或将联机重导向。RELATED 表示该数据包是属于某个已经建立的联机所建立的新联机。例如FTP-DATA 联机必定是源自某个 FTP 联机。 三、常用的处理动作 -j 参数用来指定要进行的处理动作常用的处理动作包括ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK。 分别说明如下 ACCEPT 将数据包放行进行完此处理动作后将不再比对其它规则直接跳往下一个规则链natostrouting。 REJECT 拦阻该数据包并传送数据包通知对方可以传送的数据包有几个选择ICMP port-unreachable、ICMP echo-reply 或是tcp-reset这个数据包会要求对方关闭联机进行完此处理动作后将不再比对其它规则直接 中断过滤程序。 范例如下 iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset DROP 丢弃包不予处理进行完此处理动作后将不再比对其它规则直接中断过滤程序。 REDIRECT 将包重新导向到另一个端口PNAT进行完此处理动作后将会继续比对其它规则。 这个功能可以用来实作通透式porxy 或用来保护 web 服务器。例如 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 MASQUERADE 改写数据包来源 IP为防火墙 NIC IP可以指定 port 对应的范围进行完此处理动作后直接跳往下一个规则mangleostrouting。这个功能与 SNAT 略有不同当进行 IP 伪装时不需指定要伪装成哪个 IPIP 会从网卡直接读取当使用拨号连接时IP 通常是由 ISP 公司的 DHCP 服务器指派的这个时候 MASQUERADE 特别有用。范例如下linux基础 iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000 LOG 将封包相关讯息纪录在 /var/log 中详细位置请查阅 /etc/syslog.conf 配置文件进行完此处理动作后将会继续比对其规则。例如 iptables -A INPUT -p tcp -j LOG --log-prefix INPUT packets SNAT 改写封包来源 IP 为某特定 IP 或 IP 范围可以指定 port 对应的范围进行完此处理动作后将直接跳往下一个规则mangleostrouting。范例如下 iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000 DNAT 改写封包目的地 IP 为某特定 IP 或 IP 范围可以指定 port 对应的范围进行完此处理动作后将会直接跳往下一个规炼filter:input 或 filter:forward。范例如下 iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100 MIRROR 镜像数据包也就是将来源 IP 与目的地 IP 对调后将数据包送回进行完此处理动作后将会中断过滤程序。 QUEUE 中断过滤程序将数据包放入队列交给其它程序处理。透过自行开发的处理程序可以进行其它应用例如计算联机费.......等。 RETURN 结束在目前规则链中的过滤程序返回主规则链继续过滤如果把自订规则链看成是一个子程序那么这个动作就相当提早结束子程序并返回到主程序中。 MARK 将数据包标上某个代号以便提供作为后续过滤的条件判断依据进行完此处理动作后将会继续比对其它规则。范例如下 iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2 以上用来大量的实例来说明iptables的参数和命令的用法如果有朋友有配置iptables的需求可以QQ联系我1600490666或者将需求发给我为您配置相应的策略。 文章来源 http://www.lampbo.org/linux-xuexi/linux-advance/iptables-jiaocheng-principle-introduce.html http://www.lampbo.org/linux-xuexi/linux-advance/iptables-options.html http://www.lampbo.org/linux-xuexi/linux-advance/iptables-config-rules-demo.html 转载于:https://my.oschina.net/jinhengyu/blog/1577709
