iptables详解

iptables详解及⼀些常⽤规则iptables简介netfilter/iptables（简称为iptables）组成Linux平台下的包过滤防⽕墙，与⼤多数的Linux软件⼀样，这个包过滤防⽕墙是免费的，它可以代替昂贵的商业防⽕墙解决⽅案，完成封包过滤、封包重定向和⽹络地址转换（NAT）等功能。

iptables基础规则（rules）其实就是⽹络管理员预定义的条件，规则⼀般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。

规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、⽬的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。

当数据包与规则匹配时，iptables就根据规则所定义的⽅法来处理这些数据包，如放⾏（accept）、拒绝（reject）和丢弃（drop）等。

配置防⽕墙的主要⼯作就是添加、修改和删除这些规则。

iptables和netfilter的关系：这是第⼀个要说的地⽅，Iptables和netfilter的关系是⼀个很容易让⼈搞不清的问题。

很多的知道iptables却不知道netfilter。

其实iptables只是Linux防⽕墙的管理⼯具⽽已，位于/sbin/iptables。

真正实现防⽕墙功能的是netfilter，它是Linux内核中实现包过滤的内部结构。

iptables传输数据包的过程①当⼀个数据包进⼊⽹卡时，它⾸先进⼊PREROUTING链，内核根据数据包⽬的IP判断是否需要转送出去。

②如果数据包就是进⼊本机的，它就会沿着图向下移动，到达INPUT链。

数据包到了INPUT链后，任何进程都会收到它。

本机上运⾏的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。

③如果数据包是要转发出去的，且内核允许转发，数据包就会如图所⽰向右移动，经过FORWARD链，然后到达POSTROUTING链输出。

iptables四表五链⼀、什么是iptables iptables是Linux的防⽕墙管理⼯具⽽已，真正实现防⽕墙功能的是Netfilter，我们配置了iptables规则后Netfilter通过这些规则来进⾏防⽕墙过滤等操作 Netfilter模块： 它是主要的⼯作模块，位于内核中，在⽹络层的五个位置（也就是防⽕墙四表五链中的五链）注册了⼀些钩⼦函数，⽤来抓取数据包；把数据包的信息拿出来匹配各个各个链位置在对应表中的规则：匹配之后，进⾏相应的处理ACCEPT、DROP等等。

下⾯这张图很明了的说明了Netfilter和iptables之间的关系⼆、四表五链(重要) 四表五链： 链就是位置：共有五个进路由(PREROUTING)、进系统(INPUT) 、转发(FORWARD)、出系统(OUTPUT)、出路由(POSTROUTING)； 表就是存储的规则；数据包到了该链处，会去对应表中查询设置的规则，然后决定是否放⾏、丢弃、转发还是修改等等操作。

2.1. 具体的四表filter表——过滤数据包Nat表——⽤于⽹络地址转换（IP、端⼝）Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOSRaw表——决定数据包是否被状态跟踪机制处理2.2. 具体的五链INPUT链——进来的数据包应⽤此规则链中的策略OUTPUT链——外出的数据包应⽤此规则链中的策略FORWARD链——转发数据包时应⽤此规则链中的策略PREROUTING链——对数据包作路由选择前应⽤此链中的规则（所有的数据包进来的时侯都先由这个链处理）POSTROUTING链——对数据包作路由选择后应⽤此链中的规则（所有的数据包出来的时侯都先由这个链处理）2.3. 四表五链之间的关系三、iptables语法参数3.1.iptables语法格式iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]3.2.iptables常⽤参数-P 设置默认策略:iptables-P INPUT (DROP|ACCEPT)-F 清空规则链-L 查看规则链-A 在规则链的末尾加⼊新规则-I num 在规则链的头部加⼊新规则-D num 删除某⼀条规则-s 匹配来源地址IP/MASK，加叹号"!"表⽰除这个IP外。

iptables参数详解⼀、limit：速率限制-m limit 说明：--limit 1000/s #设置最⼤平均匹配速率--limit 5/m --limit-burst 15 #表⽰⼀开始能匹配的数据包数量为15个，每匹配到⼀个，limit-burst的值减1,所以匹配到15个时，该值为0，每过12s，limit-burst的值会加1，表⽰⼜能匹配1个数据包例⼦：iptables -A INPUT -i eth0 -m limit --limit 5/m --limit-burst 15 -j ACCEPTiptables -A INPUT -i eth0 -j DROP注意要点：1、--limit-burst的值要⽐--limit的⼤2、limit本⾝没有丢弃数据包的功能，因此，需要第⼆条规则⼀起才能实现限速的功能⼆、time ：在特定时间内匹配-m time 说明：--monthdays day1[,day2]在每个⽉的特定天匹配--timestart hh:mm:ss在每天的指定时间开始匹配--timestop hh:mm:ss在每天的指定时间停⽌匹配--weekdays day1[,day2]在每个星期的指定⼯作⽇匹配，值可以是1-7例⼦：iptables -A INPUT -i eth0 -m time --weekdays 1,2,3,4 -jACCEPTiptables -A INPUT -i eth0 -j DROP三、ttl：匹配符合规则的ttl值的数据包-m ttl 说明：--ttl-eq 100匹配TTL值为100的数据包--ttl-gt 100匹配TTL值⼤于100的数据包--ttl-lt 100匹配TTL值⼩于100的数据包例⼦：iptables -A OUTPUT -m ttl --ttl-eq 100 -j ACCEPT四、multiport：匹配离散的多个端⼝-m multiport 说明：--sports port1[,port2,port3]匹配源端⼝--dports port1[,port2,port3]匹配⽬的端⼝--ports port1[,port2,port3]匹配源端⼝或⽬的端⼝例⼦：iptables -A INPUT -m multiport --sports 22，80，8080 -j DROP五、state：匹配指定的状态数据包-m state 说明：--state valuevalue可以为NEW、RELATED（有关联的）、ESTABLISHED、INVALID（未知连接）例⼦：iptables -A INPUT -m state --state NEW，ESTABLISHED -j ACCEPT六、mark：匹配带有指定mark值的数据包-m mac 说明：--mark value匹配mark标记为value的数据包例⼦：iptables -t mangle -A INPUT -m mark --mark 1 -j DROP拒绝特定的mac地址访问例⼦：iptables -A FORWARD -m mac --mac-source 00:0C:24:FA:19:80 -j DROP其它参数详解参数 --tcp-flags只过滤TCP中的⼀些包，⽐如SYN包，ACK包，FIN包，RST包等等例如： iptables -p tcp --tcp-flags SYN,FIN,ACK SYN说明⽐对 TCP 封包的状态旗号，参数分为两个部分，第⼀个部分列举出想⽐对的旗号，第⼆部分则列举前述旗号中哪些有被设，未被列举的旗号必须是空的。

iptables 触发日志级别规则摘要：1.iptables简介2.iptables触发日志级别3.iptables规则详解4.日志级别应用场景5.总结正文：IPTables是Linux系统下的一款防火墙工具，通过配置规则，可以实现对网络流量的控制和管理。

在iptables的配置过程中，日志级别和规则起到了关键作用。

本文将详细介绍iptables的日志级别和规则，以及如何根据实际需求进行配置。

一、iptables简介iptables作为Linux系统的防火墙，可以实现对网络流量的过滤和控制。

它具有灵活的规则配置，可以针对不同的网络协议、端口和地址进行筛选。

iptables的配置文件位于`/etc/iptables`，通过命令行工具进行操作。

二、iptables触发日志级别iptables日志分为五个级别，分别是：DEBUG、INFO、WARNING、ERROR和CRITICAL。

日志级别用于控制iptables的输出，方便用户了解防火墙的运行状态。

以下为各个日志级别的含义：1.DEBUG：详细信息，通常只在诊断问题时使用。

：一般性信息，表示iptables正常运行。

3.WARNING：表示某些规则可能有问题，需要检查。

4.ERROR：表示iptables运行过程中出现错误。

5.CRITICAL：表示iptables严重故障，需要立即处理。

三、iptables规则详解iptables规则分为预设链和自定义链两种。

预设链包括：PREROUTING、POSTROUTING、INPUT、FORWARD和OUTPUT。

自定义链可以根据需求进行创建。

以下为一条示例规则：```iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-destination 192.168.1.100```这条规则表示在POSTROUTING链中，将发自eth0接口的流量SNAT （源地址转换）为目标地址为192.168.1.100的设备。

Linux下iptables超详细教程和使⽤⽰例iptables的结构：iptables由上⽽下，由Tables，Chains，Rules组成。

⼀、iptables的表tables与链chainsiptables有Filter, NAT, Mangle, Raw四种内建表：1. Filter表Filter是iptables的默认表，它有以下三种内建链(chains)：INPUT链 – 处理来⾃外部的数据。

OUTPUT链 – 处理向外发送的数据。

FORWARD链 – 将数据转发到本机的其他⽹卡设备上。

2. NAT表NAT表有三种内建链：PREROUTING链 – 处理刚到达本机并在路由转发前的数据包。

它会转换数据包中的⽬标IP地址（destination ip address），通常⽤于DNAT(destination NAT)。

POSTROUTING链 – 处理即将离开本机的数据包。

它会转换数据包中的源IP地址（source ip address），通常⽤于SNAT（source NAT）。

OUTPUT链 – 处理本机产⽣的数据包。

3. Mangle表Mangle表⽤于指定如何处理数据包。

它能改变TCP头中的QoS位。

Mangle表具有5个内建链（chains）：PREROUTINGOUTPUTFORWARDINPUTPOSTROUTING4. Raw表Raw表⽤于处理异常，它具有2个内建链：PREROUTING chainOUTPUT chain5.⼩结⼆、IPTABLES 规则(Rules)规则的关键知识点：Rules包括⼀个条件和⼀个⽬标(target)如果满⾜条件，就执⾏⽬标(target)中的规则或者特定值。

如果不满⾜条件，就判断下⼀条Rules。

⽬标值（Target Values）在target⾥指定的特殊值：ACCEPT – 允许防⽕墙接收数据包DROP – 防⽕墙丢弃包QUEUE – 防⽕墙将数据包移交到⽤户空间RETURN – 防⽕墙停⽌执⾏当前链中的后续Rules，并返回到调⽤链(the calling chain)中。

iptables命令、规则、参数详解表 (table)包含4个表：4个表的优先级由高到低：raw-->mangle-->nat-->filterraw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高，从而可以对收到的数据包在连接跟踪前进行处理。

一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了.filter---这个规则表是预设规则表，拥有INPUT、FORWARD 和OUTPUT 三个规则链，这个规则表顾名思义是用来进行封包过滤的理动作net----此规则表拥有prerouting和postrouting两个规则链，主要功能为进行一对一、一对多、多对多等网址转译工作（SNATDNAT）mangle--此规则表拥有prerouting、FORWARD、postrouting 三个规则链，除了进行网址转译工作会改写封包外，在某些特殊应用可能也必须去改写封包(ITL、TOS)或者是设定MARK(将封包作记号，以进行后续的过滤)这时就必须将这些工作定义在mangles规则表中常用命令：-A 追加规则-->iptables -A INPUT-D 删除规则-->iptables -D INPUT 1(编号)-R 修改规则-->iptables -R INPUT 1 -s 192.168.12.0 -j DROP 取代现行规则，顺序不变(1是位置)-I 插入规则-->iptables -I INPUT 1 --dport 80 -j ACCEPT 插入一条规则，原本位置上的规则将会往后移动一个顺位-L 查看规则-->iptables -L INPUT 列出规则链中的所有规则-N 新的规则-->iptables -N allowed 定义新的规则通用参数：-p 协议例：iptables -A INPUT -p tcp-s源地址例：iptables -A INPUT -s 192.168.1.1-d目的地址例：iptables -A INPUT -d 192.168.12.1-sport源端口例:iptables -A INPUT -p tcp --sport 22-dport目的端口例:iptables -A INPUT -p tcp --dport 22-i指定入口网卡例:iptables -A INPUT -i eth0-o指定出口网卡例:iptables -A FORWARD -o eth0-j 指定要进行的处理动作常用的ACTION：DROP：丢弃REJECT：明示拒绝ACCEPT：接受SNAT基于原地址的转换source--指定原地址比如我们现在要将所有192.168.10.0网段的IP在经过的时候全都转换成172.16.100.1这个假设出来的外网地址：iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.1(外网有效ip)这样，只要是来自本地网络的试图通过网卡访问网络的，都会被统统转换成172.16.100.1这个IP.MASQUERADE(动态伪装）--家用带宽获取的外网ip，就是用到了动态伪装iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADEDNAT目标地址转换destination-指定目标地址iptables -t nat -A PREROUTING -d 192.168.10.18 -p tcp --dport 80 -j DNAT --to-destination 172.16.100.210.18访问80端口转换到100.2上MASQUERADE：源地址伪装REDIRECT：重定向：主要用于实现端口重定向MARK：打防火墙标记的RETURN：返回在自定义链执行完毕后使用返回，来返回原规则链。

1.iptables规则详解1.什么是防⽕墙，防⽕墙的种类有哪些防⽕墙：古⼈⽤来隔绝失⽕后的⾼墙，阻挡外来的⽕势，起到了隔离的⼿段。

在互联⽹上，我们会采⽤类似于防⽕墙的⽅法，来保护我们的⽹络不受外来攻击，为此我们需要设定⼀些防⽕墙的规则，确定哪些数据允许通过，哪些不能通过，具有这种功能的设备或软件，我们将其称为防⽕墙防⽕墙的种类：逻辑层⾯：主机防⽕墙：针对单个主机进⾏防护，例如Windows防⽕墙⼀般是软件⽹络防⽕墙：处于⽹路⼊⼝的边缘，针对⽹络⼊⼝进⾏防护⼀般是硬件，也可以⽤软件物理层⾯：硬件防⽕墙：⼀个实体的硬件，嵌⼊软件，实现防⽕墙的功能，性能⾼，成本⾼软件防⽕墙：通过软件的⽅式，模拟防⽕墙的功能，运⾏在操作系统上⾯，性能低，成本低2.iptables介绍1.什么是iptables？iptables可以理解为是⼀个代理程序，⽤户通过代理程序，将安全规则添加到安全框架中 net filter（内核空间）netfilter/iptables 是Linux中的包过滤型防⽕墙，是免费的，可以代替昂贵的商业防⽕墙解决⽅案，可以实现数据包的过滤，实现数据包的转换。

2.什么是包过滤防⽕墙？包过滤型防⽕墙在我们⽹络层拦截⽹络数据包的包头（header），可以针对数据包的包头，与我们事先准备好的防⽕墙规则进⾏⽐对，与规则相匹配的包放⾏，不匹配的包丢弃或者执⾏⼀些复杂的动作，包过滤型防⽕墙⼀般作⽤在我们的⽹络层，故通常header中带有客户端来源IP，源端⼝，⽬标IP，⽬标端⼝，协议类型：tcp udp icmp，根据这些状态信息来判断，是否符合我们的IP tables的过滤规则，符合通过，不然拒绝。

3.包过滤型防⽕墙是怎么实现的？是基于net filter安全框架实现的，是内核的⼀部分，如果我们想要让防⽕墙达到防⽕的⽬的，需要我们在内核中，设定⼀些关卡，所有进出的报⽂，根据设定的这些关卡进⾏检查，将符合条件的放⾏，不符合的阻⽌，在net filter中，这些关卡就是链3.iptables链的概念1.什么是链？防⽕墙的作⽤就是在于将经过的报⽂与设定的规则进⾏⽐对，然后执⾏响应的动作，报⽂经过链时，必须匹配链的规则，在链上不⽌⼀条规则，存在着很多规则，当我们将这些规则穿在⼀起的时候就形成了链链的匹配规则，如下图所⽰，当有报⽂经过时，会以此往下匹配规则，如果匹配成功，则执⾏相对于的动作，如果匹配不成功，就以此往下匹配，直到最后⼀条规则还是没有匹配成功，会执⾏链的默认规则。