介绍
iptables由上而下,由Tables,Chains,Rules组成。
一、iptables的表tables与链chains
iptables有Filter, NAT, Mangle, Raw四种内建表:
1. Filter表
Filter是iptables的默认表,它有以下三种内建链(chains):
INPUT链 OUTPUT链 FORWARD链
2. NAT表
NAT表有三种内建链:
PREROUTING链 POSTROUTING链 OUTPUT链
3. Mangle表
Mangle表用于指定如何处理数据包。它能改变TCP头中的QoS位。Mangle表具有5个内建链(chains):
PREROUTING链 OUTPUT链 FORWARD链 INPUT链 POSTROUTING链
4. Raw表
Raw表用于处理异常,它具有2个内建链:
PREROUTING链 OUTPUT链
PREROUTING链:interface接口接收后立即,数据包将在做出路由决策之前进入该链。
POSTROUTING链:在离开interface接口之前,已做出路由决定。数据包在传递给硬件之前进入此链。
INPUT链:在传递给本地进程之前。
OUTPUT链:由本地进程创建后立即。从机器本身发送的数据包将访问该链。
FORWARD链:将数据转发到本机的其他网卡设备上
二、IPTABLES 规则(Rules)
Rules包括匹配条件和处理动作(target)
如果满足条件,就执行目标(target)中的动作。如果不满足条件,就判断下一条Rules。
target 动作:
REDIRECT:在本机做端口映射。
ACCEPT:允许数据包通过。
DROP:直接丢弃数据包,不给任何回应信息,过了超时时间才会有反应。
REJECT:拒绝数据包通过,必要时会给数据发送端一个响应的信息,客户端刚请求就会收到拒绝的信息。
SNAT:源地址转换,解决内网用户用同一个公网地址上网的问题。
MASQUERADE:是SNAT的一种特殊形式,适用于动态的、临时会变的ip上。
DNAT:目标地址转换。
LOG:在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则,也就是说除了记录以外不对数据包做任何其他操作,仍然让下一条规则去匹配
iptables -t filter --list #查看filter表
iptables -t mangle --list #查看mangle表:
iptables -t nat --list #查看NAT表:
iptables -t raw --list #查看RAW表:
规则添加相关参数介绍: -A chain:指定要追加规则的链 -p tcp 指定协议(protocol) -–sport 80 来源端口(source port) --dport 80 目的端口 -j 指定target动作 -s:指定源地址,可以是IP地址,也可以是网段"192.168.109.10/24";"-s 为空",表示拒绝所有;
如下示例解析 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8088
匹配条件:
-t nat: 指定使用"nat"表,这个表用于处理网络地址转换(NAT)相关规则。
-A PREROUTING: 添加规则到"PREROUTING"链,这个链在数据包到达本地计算机之前进行处理。
-p tcp: 匹配传输层协议为TCP的数据包。
--dport 80: 匹配目标端口为80的数据包。
target动作:
-j REDIRECT: 将匹配到的数据包重定向到指定的目标。 --to-port 8088 重定向到8088
使用
1.启用ipv4转发
vim /etc/sysctl.conf
net.ipv4.ip_forward=1
sysctl -p
2.添加iptables规则
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8088 #追加一条规则: 将本机的 80 端口转发到 8088 端口。
iptables -t nat -L #查看nat 转发规则
iptables -t nat -D PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8088 #删除规则
3.持久化当前iptables配置,并开机重载
3-1.iptables-save:
利用iptables-save命令可以将iptable规则保存到一个持久化存储的目录中,不同的系统保存的目录也有所不同(IPv4):
Debian/Ubuntu: iptables-save > /etc/iptables/rules.v4
RHEL/CentOS: iptables-save > /etc/sysconfig/iptables
保存之后,可以通过iptables-restore命令载入(IPv4):
Debian/Ubuntu: iptables-restore < /etc/iptables/rules.v4
RHEL/CentOS: iptables-restore < /etc/sysconfig/iptables
如果你有使用IPv6的规则,通常需要执行下面对应的IPv6保存和恢复的命令:
Debian/Ubuntu: ip6tables-save > /etc/iptables/rules.v6
RHEL/CentOS: ip6tables-save > /etc/sysconfig/ip6tables
注意: 这种方式只是保存规则和恢复的一种方式,并不是说保存规则后下次启动就会自动加载。一定要记住这点,如果要想系统启动后自动加载请看下面的方式。
3-2.iptables-persistent
apt-get install iptables-persistent
systemctl list-units --type=service | grep "persistent" #模糊搜索 serviceName
netfilter-persistent save #持久化当前iptables配置, 删除规则之后 重新执行save即可
# 当前建立的任何 iptables 规则都将保存到以下相应的 IPv4 和 IPv6 文件中:
/etc/iptables/rules.v4
/etc/iptables/rules.v6
cat /etc/iptables/rules.v4
