文档介绍:肇iptables薄iptables是一款Linux系统下著名的防火墙软件。螄已经成为Linux系统中防火墙软件的事实标准。袂iptables的功能蒈1)数据包过滤防火墙芆2)网络地址转换NAT薃3)数据包拆分羂iptables共有3张表,分别是:衿filter(过滤)表蚄nat(网络地址转换)表节mangle(拆分)表肁这3张表正好对应实现iptables的3类功能。肆表链规则蒆在iptables的概念中,“表”是最大的容器;肁在表中可以定义多条“链”;膁每条链中又可以定义多条“规则”。蒇袄激活IP转发功能肄把Linux主机配置成网关防火墙,需要在执行iptables命令之前激活IP数据包的转发功能。芁激活IP数据包的转发功能的命令如下:袈#echo1>/proc//ipv4/ip_forward薆iptables基础袃iptables语法格式如下:芁iptables[-mandchain[match][-jtarget/jump]艿iptables语法格式中的命令肃(1)命令–A(--append)蚂示例:iptables–AINPUT-EPT莁功能:命令-A用来向指定的链中追加新规则,本例为向filter表(默认表)的INPUT链中追加一条规则,其功能是接受源地址为任意、目标地址为防火墙本身的所有数据包。蚀说明:新增加的规则将会成为规则链中的最后一条规则。螅(2)命令–D(--delete)蚄示例:iptables-DINPUT–ptcp--dport80-jDROP蒁功能:删除“拒绝协议为tcp、目标端口为80的数据包进入本机”的规则。螆说明:也可以通过直接指定规则编号加以删除,示例如下:蒇iptables-DINPUT1蒃功能:删除INPUT链中编号为“1”的规则。薁(3)命令–I(--insert)***示例:iptables-IINPUT1-ptcp--dport80-EPT羅功能:命令–I用来插入规则,本例为在filter表(默认表)的INPUT链中第1条规则的位置插入一条规则,其功能是接受协议为tcp、目标端口为80的数据包进入本机。节说明:在指定的链中插入一条规则,原来在该位置及其以后的规则将依次往后移动一个位置。蚁(4)命令–L(--list)薈示例:iptables-LINPUT蚇功能:命令-L用来列出指定链中的规则,本例为列出位于filter表(默认表)的INPUT链中所有规则。羁说明:如果不指明具体的表,则会列出filter表(默认表)的每条链中的所有规则。也可以指定具体的表的名称,例如要列出nat表中所有规则,则命令如下:螀#iptables-tnat-L罿(5)命令–F(--flush)肅示例:iptables-FINPUT肄功能:命令–F用来清空指定链中的所有规则,本例为清空filter表(默认表)的INPUT链中的所有规则。螀说明:如果不指明具体的链,则会清空filter表(默认表)的每条链中的所有规则。也可以指定具体的表的名称,例如要清空nat表中所有规则,则命令如下:膆#iptables-tnat-F袇(6)命令–Z(--zero)螃示例:iptables-ZINPUT袀功能:命令-Z用来将指定链的计数器清零,本例为将filter表(默认表)的INPUT链的计数器清零。薇(7)命令–N(--new-chain)芅示例:iptables-NMYCHAIN薂功能:命令–N用来自定义新链,本例为在filter表(默认表)中定义一条名为MYCHAIN的新链。羀说明:每条规则链就像一个函数,链中的规则就像函数中的一条条语句;在定义新的规则链之后,用户可以在新链中自定义规则。羈(8)命令–X(--delete-chain)羆示例:iptables-XMYCHAIN薅功能:命令–X用来删除指定的链,本例为删除filter表(默认表)中名为MYCHAIN的链。肀说明:此命令只能删除用户自定义的链而不能删除内置(默认)链。荿(9)命令–P(--policy)蒄示例:iptables-PINPUTDROP莃功能:命令–P用来定义指定链的默认处理策略。羂说明:只有内置(默认)链才能定义默认处理策略。薂(10)命令–E(--rename-chain)羈示例:iptables-EMYOLDCHAINMYNEWCHAIN羄功能:命令–E用来将自定义的链重命名,本例为将用户自定义的链MYOLDCHAIN重命名为MYNEWCHAIN。肂说明:重命名链的名称不影响规则表、链的结构,仅仅是改换名称而已。蚈iptables语法格式中的参数蒆(1)参数–p(--protocol)蚃示例:iptables-AINPUT-ptcp–EPT膂功能:参数–p(小写p)用来指定要匹配的协议,本例为在filter表(默认表)的INPUT链中追