原理简介

安装运行

特殊介绍

1.iptables的3个表：

 filter： 顾名思义，用于过滤的时候



nat：    顾名思义，用于做NAT 的时候



manager：见下

2.iptables的5条链

 INPUT： 匹配目的IP 是本机的数据包



OUPUT:  匹配源IP是本机的数据包



FORWARD： 匹配穿过本机的数据包



PREROUTING： 用于修改目的地址（DNAT）



POSTROUTING：用于修改源地址（SNAT）

3.manager简介

  这个表主要用来mangle数据包。我们可以改变不同的包及包头的内容，比如 TTL，TOS或MARK。 注意MARK并没有真正地改动数据包，

它只是在内核空间为包设了一个标记。防火墙内的其他的规则或程序（如tc）可以使用这种标记对包进行过滤或高级路由。这个表有五个内建的链： 

PREROUTING，POSTROUTING，OUTPUT，INPUT和 FORWARD。

　　PREROUTING在包进入防火墙之后、路由判断之前改变 包，POSTROUTING是在所有路由判断之后。 OUTPUT在确定包的目的之前更改数据包。INPUT在包被路由到本地之后，但在用户空间的程序看到它之前改变包。注意，mangle表不能做任何 NAT，它只是改变数据包的TTL，TOS或MARK，而不是其源目的地址。NAT是在nat表中操作的，以下是mangle表中仅有的几种操作：　　
◆ TOS　　
◆ TTL
◆ MARK　　
TOS操作用来设置或改变数据包的服务类型域。这常用来设置网络上的数据包如何被路由等策略。

   注意这个操作并不完善，有时得不所愿。它在Internet上还不能使用，而且很多路由器不会注意到这个域值。换句话说，不要设置发往Internet的包，除非你打算依靠TOS来路由，比如用iproute2。　　

　　TTL操作用来改变数据包的生存时间域，我们可以让所有数据包只有一个特殊的TTL。它的存在有一个很好的理由，那就是我们可以欺骗一些ISP。为什么要欺骗他们呢？因为他们不愿意让我们共享 一个连接。　　
那些ISP会查找一台单独的计算机是否使用不同的TTL，并且以此作为判断连接是否被共享的标志。　
MARK用来给包设置特殊的标记。iproute2能识别这些标记，并根据不同的标记（或没有标记） 决定不同的路由。用这些标记我们可以做带宽限制和基于请求的分类。

 语法概述

-t

-t 要操作的表
如果不加-t则用默认表filter
例如：
iptables -t nat
对nat表进行操作

-A

-A <链名> APPEND，追加一条规则（放到最后）
例如：
iptables -t filter -A INPUT -j DROP
在filter 表的INPUT 链里追加一条规则（作为最后一条规则）
匹配所有访问本机IP 的数据包，匹配到的丢弃

 -I

-I <链名> [规则号码] INSERT，插入一条规则
例如：
iptables -I INPUT -j DROP
在filter 表的INPUT 链里插入一条规则（插入成第1 条）
iptables -I INPUT 3 -j DROP
在filter 表的INPUT 链里插入一条规则（插入成第3 条）
注意：
1、-t filter 可不写，不写则自动默认是filter 表
2、-I 链名[规则号码]，如果不写规则号码，则默认是1
3、确保规则号码≤ （已有规则数+ 1），否则报错

 -D

-D <链名> <规则号码| 具体规则内容> DELETE，删除一条规则
例如：
iptables -D INPUT 3（按号码匹配）
删除filter 表INPUT 链中的第三条规则（不管它的内容是什么）
iptables -D INPUT -s 192.168.0.1 -j DROP（按内容匹配）
删除filter 表INPUT 链中内容为“-s 192.168.0.1 -j DROP”的规则(不管其位置在哪里）
注意：
1、若规则列表中有多条相同的规则时，按内容匹配只删除序号最小的一条
2、按号码匹配删除时，确保规则号码≤ 已有规则数，否则报错
3、按内容匹配删除时，确保规则存在，否则报错

 -R

-R <链名> <规则号码> <具体规则内容> REPLACE，替换一条规则
例如：
iptables -R INPUT 3 -j ACCEPT
将原来编号为3 的规则内容替换为“-j ACCEPT”
注意：
确保规则号码≤ 已有规则数，否则报错

-P

-P <链名> <动作> POLICY，设置某个链的默认规则
例如：
iptables -P INPUT DROP
设置filter 表INPUT 链的默认规则是DROP
注意：
当数据包没有被规则列表里的任何规则匹配到时，按此默认规则处理。动作前面不能加–j，这也是唯一一种匹配动作前面不加–j 的情况。

 -F

-F [链名] FLUSH，清空规则
例如：
iptables -F INPUT
清空filter 表INPUT 链中的所有规则
iptables -t nat -F PREROUTING
清空nat 表PREROUTING 链中的所有规则
注意：
1、-F 仅仅是清空链中规则，并不影响-P 设置的默认规则
2、-P 设置了DROP 后，使用-F 一定要小心！！！
3、如果不写链名，默认清空某表里所有链里的所有规则

-[vxn]L

-L [链名] LIST，列出规则
v：显示详细信息，包括每条规则的匹配包数量和匹配字节数
x：在v 的基础上，禁止自动单位换算（K、M）
n：只显示IP 地址和端口号码，不显示域名和服务名称
例如：
iptables -L
粗略列出filter 表所有链及所有规则
iptables -t nat -vnL
用详细方式列出nat 表所有链的所有规则，只显示IP 地址和端口号
iptables -t nat -vxnL PREROUTING
用详细方式列出nat 表PREROUTING 链的所有规则以及详细数字，不反解

 匹配条件

-i

-i <匹配数据进入的网络接口>
例如：
-i eth0
匹配是否从网络接口eth0 进来
-i ppp0
匹配是否从网络接口ppp0 进来

 -o

-o 匹配数据流出的网络接口
例如：
-o eth0
-o ppp0

-s

-s <匹配来源地址>
可以是IP、NET、DOMAIN，也可空（任何地址）
例如：
-s 192.168.0.1 匹配来自192.168.0.1 的数据包
-s 192.168.1.0/24 匹配来自192.168.1.0/24 网络的数据包
-s 192.168.0.0/16 匹配来自192.168.0.0/16 网络的数据包

-d

-d <匹配目的地址>
可以是IP、NET、DOMAIN，也可以空
例如：
-d 202.106.0.20 匹配去往202.106.0.20 的数据包
-d 202.106.0.0/16 匹配去往202.106.0.0/16 网络的数据包
-d www.abc.com 匹配去往域名www.abc.com 的数据包

-p

-p <匹配协议类型>
可以是TCP、UDP、ICMP 等，也可为空
例如：
-p tcp
-p udp
-p icmp --icmp-type 类型
ping: type 8 pong: type 0

 --sport

--sport <匹配源端口>
可以是个别端口，可以是端口范围
例如：
--sport 1000 匹配源端口是1000 的数据包
--sport 1000:3000 匹配源端口是1000-3000 的数据包（含1000、3000）
--sport :3000 匹配源端口是3000 以下的数据包（含3000）
--sport 1000: 匹配源端口是1000 以上的数据包（含1000）
注意：--dport 必须配合-p 参数使用

--dport

--dport <匹配目的端口>
可以是个别端口，可以是端口范围
例如：
--dport 80 匹配目的端口是80 的数据包
--dport 6000:8000 匹配目的端口是6000-8000 的数据包（含6000、8000）
--dport :3000 匹配目的端口是3000 以下的数据包（含3000）
--dport 1000: 匹配目的端口是1000 以上的数据包（含1000）
注意：--dport 必须配合-p 参数使用

动作（处理方式）

ACCEPT

-j ACCEPT
通过，允许数据包通过本链而不拦截它,类似Cisco 中ACL 里面的permit
例如：
iptables -A INPUT -j ACCEPT
允许所有访问本机IP 的数据包通过

DORP

-j DROP
丢弃，阻止数据包通过本链而丢弃它,类似Cisco 中ACL 里的deny
例如：
iptables -A FORWARD -s 192.168.80.39 -j DROP
阻止来源地址为192.168.80.39 的数据包通过本机

 DNAT

-j DNAT --to IP[-IP][:端口-端口]（nat 表的PREROUTING 链）目的地址转换，DNAT 支持转换为单IP，也支持转换到IP 地址池（一组连续的IP 地址）
例如：
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.0.1
把从ppp0 进来的要访问TCP/80 的数据包目的地址改为192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 -j DNAT --to 192.168.0.2:80
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.0.1-192.168.0.10

 SNAT

-j SNAT --to IP[-IP][:端口-端口]（nat 表的POSTROUTING 链）源地址转换，SNAT 支持转换为单IP，也支持转换到IP 地址池（一组连续的IP 地址）
例如：
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1
将内网192.168.0.0/24 的原地址修改为1.1.1.1，用于NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1-1.1.1.10
同上，只不过修改成一个地址池里的IP

MASQUERADE

-j MASQUERADE 动态源地址转换（动态IP 的情况下使用）
例如：
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
将源地址是192.168.0.0/24 的数据包进行地址伪装

 附加模块

 state

-m state --state 状态
状态：NEW、RELATED、ESTABLISHED、INVALID
NEW：有别于tcp 的syn
ESTABLISHED：连接态
RELATED：衍生态，与conntrack 关联（FTP）
INVALID：不能被识别属于哪个连接或没有任何状态
例如： iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

mac

-m mac --mac-source MAC 匹配某个MAC 地址
例如：
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
阻断来自某MAC 地址的数据包，通过本机
注意：
报文经过路由后，数据包中原有的mac 信息会被替换，所以在路由后的iptables 中使用mac 模块是没有意义的

limit

-m limit --limit 匹配速率[--burst 缓冲数量]用一定速率去匹配数据包
例如：
iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s -j ACCEPT
iptables -A FORWARD -d 192.168.0.1 -j DROP
注意：
limit 英语上看是限制的意思，但实际上只是按一定速率去匹配而已，要想限制的话后面要再跟一条DROP

multiport

-m multiport <--sports|--dports|--ports> 端口1[,端口2,..,端口n]一次性匹配多个端口，可以区分源端口，目的端口或不指定端口
例如：
iptables -A INPUT -p tcp -m multiport --dports 21,22,25,80,110 -j ACCEPT
注意：
必须与-p 参数一起使用