iptables常用选项及应用实例操作

iptables常用选项及应用实例操作

iptables表与链的关系
1、filter 包过滤
INPUT
FORWARD
OUTPUT
2、NAT 地址转发
OUTPUT
PREROUTING
POSTROUTING
3、Mangle 修改TTL值等
INPUT
FORWARD
OUTPUT
PREROUTING
PSOTROUTING

介绍一下链的含义：
PREROUTING 数据包进入本地，进入路由表之前
INPUT 通过路由表后，目的地为本机
OUTPUT 由本机产生，向外转发
FORWARD 通过路由表后，目的地不为本机
POSTROUTING 通过路由表后，发送至网卡接口之前

优生级：raw>mangle>nat>filter

SNAT源地址转换POSTROUTING
DNAT目标地址转换PREROUTING

iptables识别数据包四种状态:
NEW：当与任何主机通信时发出的第一个数据包的状态即NEW，一般为发起连接方发送的第一个标志为SYN=1的数据包 注意：NEW是TCP三次握手中的第一次SYN必须等于1
ESTABLISHED：假设与主机通信时发出的第一个数据包能够通过防火墙，那么后续的你与该主机之间发送和接收到所有数据包状态均为ESTABLISHED (SYN不等于1，ACK=1,FIN不等于1)
RELATED：由一个已经建立的连接所生成的新的连接的状态即为RELATED，例如FTP服务，访问FTP服务器时建立的连接是21端口的发送命令的连接，如果要传输数据则需要按工作模式不同打开其他端口的连接，那么这个连接就是RELATED状态
INVALID：非法状态的数据包，也就是不属于以上三种状态的数据包，无法实别的状态比如：SYN=1 FIN=1 又请求又发送结束，根本没有这种状态的包


iptables基本语法：

1. iptables [-t TABLE] COMMAND CHAIN [createriaj] -j ACTION
2.
3. -t {raw|mangle|nat|filter},默认filter
4.
5. COMMAND:
6. 规则管理类：
7. -A 增加
8. -I # 插入
9. -D # 删除
10. -R # 替换
11. 链接管理类：
12. -F 清空链
13. -N new，新建链
14. -X 删除自定义空链
15. -E rename重命名
16. 默认策略：
17. —P policy
18. 清空计算器
19. -Z zero
20. 每条规则（包括默认策略）都有两个计数器
21. 被此规则匹配到的所有数据包的个数
22. 被此规则匹配到的所有数据包的大小之和
23. 查看类：
24. —L, list
25. -n,numeric
26. -v,verbose
27. -vv
28.