快速理解iptables入門教程

一、iptables安裝

二、三表五鏈

三個表： Filter、NAT、Mangle。默認使用Filter。
Filter：用于一般信息包過濾，包含了INPUT、OUTPUT、FORWARD鏈。
NAT：用于需轉發(NAT)的信息包，包含了OUTPUT、PREROUTING、POSTROUTING。
Mangle：包含一些規則來標記用于高級路由，包含PREROUTING和OUTPUT鏈。如查信息包及其頭內進行了任何更改，則使用該表。
五個內置鏈：
PREROUTING  數據包進入路由表之前，用于修改目的地址（DNAT）。
INPUT  通過路由表后目的地為本機，匹配目的 IP 是本機的數據包。
FORWARD  通過路由表后，目的地不為本機，匹配穿過本機的數據包。
OUTPUT  由本機產生，向外轉發。
POSTROUTING  發送到網卡接口之前，用于修改源地址 （SNAT）。
 

iptables（netfilter）五條鏈相互關系

 
三表五鏈處理過程中的位置

三、目標(target)

ACCEPT （-j ACCEPT） 當信息包與ACCEPT目標的規則完全匹配時，會被接受即允許前往目的地，并將停止遍歷鏈。
DROP （-j DROP） 當信息包與DROP目標的規則完全匹配時，會阻塞該包即丟棄該包。
REJECT (-j REJECT) 該目標工作方式與DROP目標相同，比DROP好的是REJECT不會在服務器和客戶機上留下死套接字，并將錯誤消息發回給信息包的發送方。
RETURN (-j RETURN) 該目標是讓與該規則相匹配的信息包停止遍歷所有鏈，如果該鏈是INPUT之類的鏈，則使用該鏈的缺省策略處理該信息包。
還有其它的高級點的目標，如LOG、REDIRECT、MARK、MIRROR和MASQUERADE等。
 

四、命令和語法

五、策略保存

六、常用實用策略

該內容來自其互聯網。
注意：確保規則循序正確，弄清邏輯關系，學會時刻使用 -vnL
先開啟轉發：echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -F       清除預設表filter中的所有規則鏈的規則
iptables -X      清除預設表filter中使用者自定鏈中的規則
iptables -Z       清除預設表filter中使用計數器
iptables -F -t nat 
iptables -X -t nat 
iptables -Z -t nat     
可根據需求設置默認策略
iptables –P INPUT DROP
iptables –P FORWARD DROP
iptables –P OUTPUT ACCEPT 
這樣默認把INPUT 、FORWARD 設置成DROP，只有OUTPUT是ACCEPT，如需要也可以設置成DROP。

（以后再來完成）按拓撲圖進行一個案例設置：

FTP

SSH

MYSQL

NAT1-3389

NAT2-web