iptables知识概况

nat

target

mangleINPUT

manglePREROUTING

mangle

natPREROUTING

SNAT

POSTROUTING

rawINPUT

RoutingDecision(路由决策)

Q: 将内网请求转到代理主机上，如将主机对80端口的访问全部跳转到192.168.0.254的3128端口上A: iptables -t nat -A OUTPUT -p tcp -dport 80 -j DNAT --to-destintion 192.168.0.254:3128

MASQUERADE

PREROUTING

流出数据包

拒绝数据包通过，必要时会给数据发送端一个相应的信息，客户端刚请求就会收到拒绝的信息

filterOUTPUT

Q: 允许来自网卡eth0的流量进入A: iptables -A FORWARD -i eth0 -j ACCEPTQ: 放行到192.168.0.110的3306端口流量，并对外告知端口为6789A: iptables -P FORWARD DROP    iptables -A FOREARD -d 192.168.0.110 -p tcp --dport 3306 -m state --state NEW -j ACCEPT    iptables -t nat -A PREROUTING -d 10.0.10.62 -p tcp --dport 6789 -j DNAT --to-destination 192.168.0.110:3306

filter

iptables网关服务器三块网卡：eth0(网通ip：10.0.0.1)、eth1（电信ip:20.0.0.1）；eth2：网关192.168.10.1。Q: 公司内网要求192.168.10.1-100以内的ip使用10.0.0.1网关上网，其他ip使用20.0.0.1上网A：   路由   ip route add default gw 20.0.0.1   ip route add table 10 via 10.0.0.1 dev eth0   ip rule add fwmark 10 table 10   打标签   iptables -A PREROUTING -t mangle -i eth2 -s 192.168.10.1 - 192.168.10.100 -j MARK --set-mark 10

OUTPUT

Q: 阻止8092端口的连接传出A: iptables -A OUTPUT -p tcp --dport 8092 -j DROP

NETWORK

是SNAT的一种特殊形式，适用于动态的，临时会变的ip上

rawPREROUTING

ACCEPT

mangleFORWARD

Q: 可以使用 “NOTRACK” target 允许规则指定80端口的包不进入链接跟踪/NAT子系统A: iptables -t raw -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j NOTRACK    iptables -t raw -A PREROUTING -s 1.2.3.4 -p tcp --sport 80 -j NOTRACK    iptables -A FORWARD -m state --state UNTRACKED -j ACCEPT

Q: 主机开放22端口A: iptables -A INPUT -p tcp–dport 22 -j ACCEPT

Q: 禁止访问主机的30001端口A: iptables -t mangle -A INPUT -p tcp --dport 30001 DROP

流入数据包

natINPUT

目标地址转换

源地址转换，解决内网用户用同一个公网地址上网的问题

raw

REDIRECT

natPOSTROUTING

natOUTPUT

在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则，也就是说除了记录以外不对数据包做任何其他操作，仍然让下一条规则去匹配

出站

FORWARD

INPUT

rawOUTPUT

LOG

允许数据包通过

LocalProcess

filterINPUT

在本机做端口映射

入站

REJECT

manglePOSTROUTING

DROP

直接丢弃数据包，不给任何回应信息，这时候客户端会感觉自己的请求泥牛入海了，过了超时时间才会有反应

转发

DNAT

mangleOUTPUT