一.基本格式
1. iptable [-t 表] 命令選項 [連名] 匹配條件 [-j 動作]
2.常用命令選項如下:
-A 【append】 在指定的連的結尾添加規則
-D 【delete】刪除指定連中的規則,可以按規則號或規則內容匹配
-I 【insert】插入一條新規則,默認是在最前面
-R 【replace】 替換某一條規則
-L 【list】列出所有規則
-F 【flush】清空所有規則
-N 【new】自定義一條規則連
-X 【--delete-chain】 刪除用戶自定義規則連
-P 【policy】設置默認策略
-n 【numeric】以數字方式顯示,如:顯示ip��,但不顯示主機名
-v 【verbose】顯示詳細信息
-V 【version】查看iptable的版本信息
--line-number 查看規則連是,顯示列表號
-Z 清空計數器值
二.舉例
# iptable -t filter -F【清空filter表中所有規則】
# iptable -t filter -Z【清空filter表中的計數器值】
#iptable -t filter -X 【清除filter表中自定義連】
# iptable -t filter -P INPUT DROP 【設置INPUT連默認策略為DROP】
# iptable -t filter -P OUTPUT DROP
# iptable -t filter -P FORWROD DROP
# iptable -t filter -A INPUT -p tcp -j ACCEPT 【在INPUT連最后添加一條允許tcp協議的數據包進入的規則】
# iptable -t filter -R INPUT 1 -p tcp -j DROP 【替換INPUT連的第1條規則為拒絕tcp數據包進入】
# iptable -t nat -vnL --line-number 【以詳細的���、數字的格式列出nat表中的所有規則】
# iptable -t nat -D POSTROUTING 1 【刪除nat表POSTROUTING 連中的第1條規則】
三.條件匹配
1. 協議匹配:用于檢查數據包使用的協議,符合規則就允許����,反之拒絕����。允許使用的協議名在/etc/protocols文件中���。
常用的協議有tcp����,udp,icmp�����,ip 和all��。【 -p 協議名 】
# iptable -I INPUT -p icmp -j REJECT 【拒絕進入防火墻本身的icmp數據包】
# iptable -A FORWARD -p udp -j ACCEPT 【允許轉發udp的所有數據包】
2. 地址匹配:用于檢查數據包的地址是否符合規則��,包括源地址和目的地址�。【-s 源地址����, -d 目的地址】
# iptable -A FORWARD -s 10.0.0.0/8 -j DROP 【拒絕轉發來自10.0.0.0/8 網段的數據包】
# iptable -A FORWARD -d 80.0.0.0/8 -j DROP 【 拒絕轉發目的是80.0.0.0/8 網段的數據包】
3.端口匹配:用于檢查數據包的tcp或udp端口��,需要和 “-p 協議類型” 一起使用【-sport 源端口,-dport 目的端口】
# iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 80 -j ACCEPT 【允許轉發來自10.0.0.0/8網段����,目的端口是80的數據包】
# iptables -I FORWARD -s 10.0.0.0/8 -p tcp --sport 21 -j ACCEPT【允許轉發來自10.0.0.0/8網段����,源端口是21的數據包】
4.接口匹配:用于檢查數據包從防火墻那個接口進入或出去����,來判斷是否允許。
# iptables -A FORWARD -i eth0 -s 10.0.0.0/8 -p tcp --dport 80 -j ACCEPT
【允許轉發從eth0進入��,來自10.0.0.0/8網段�,使用tcp 協議,目的端口椒80的數據包】
# iptables -A INPUT -i eth0 -s 80.0.0.0/8 -j DORP 【拒絕從eth0進入��,來自80.0.0.0/8的數據包】
5.SNAT轉換:一般linux充當網關服務器時使用
SNAT只能用在nat表的POSTROUTING連��,用于對源地址進行轉換�����。要結合 --to 使用。
# iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -j SNAT --to 202.106.1.1
【將來自10.0.0.0/8網段的所有數據包的源地址轉為202.106.1.1】
# iptables -t nat -A POSTROUTING -i eth0 -s 80.0.0.0/8 -p tcp --dport 25 -j SNAT --to 202.106.1.1
6.DNAT轉換:只能用在nat表中的PREROUTING連��,用于對目的地址或端口進行轉換��。
# iptables -t nat -A PREROUTING -i eth1 -d 202.106.1.1 -p tcp --dport 80 -j DNAT --to 10.0.0.10
【將從eth1 進入��,目的地址是202.106.1.1�����,使用tcp 協議�����,目的端口是80的數據包的目的地址轉為10.0.0.1】
7.MASQUERADE:偽裝��,是SNAT的特例。
# iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth1 -j MASQUERADE
【將來自10.0.0.0/8網段,從eth1出去的數據包的源地址偽裝為eth1接口地址】
四.拓展模塊
1.按來源MAC地址匹配
# iptables -t filter -A FORWARD -m --mac-source 00:02:b2:03:a5:f6 -j DROP
【拒絕轉發來自該MAC地址的數據包】
2.按多端口或連續端口匹配
20: 表示20以后的所有端口
20:100 表示20到100的端口
:20 表示20之前的所有端口
-m multiport [--prots, --sports,--dports]
# iptables -A INPUT -p tcp -m multiport --dports 21,20,25,53,80 -j ACCEPT 【多端口匹配】
# iptables -A INPUT -p tcp -dport 20: -j ACCEPT
# iptables -A INPUT -p tcp -sport 20:80 -j ACCEPT
# iptables -A INPUT -p tcp -sport :80 -j ACCEPT
3.還可以按數據包速率和狀態匹配
-m limit --limit 匹配速率 如: -m limit --limit 50/s -j ACCEPT
-m state --state 狀態 如: -m state --state INVALID,RELATED -j ACCEPT
