Iptables的五条规则链：

Prerouting 路由前检查

Forward 转发

Postrouting 路由后

Input 访问防火墙本身

Output 防火墙本身访问其他网络

Linux制作路由转发，数据报最少经过prerouting、forward、postrouting 三条规则链

外界访问linux防火墙本身要经过prerouting，input规则链

Linux防火墙本身访问外界要经过postrouting，output规则链

Iptables 默认具有3个规则表

filter：用于设置包过滤 设置input 、forward 、output，无论什么数据报都要经过这三个规则链

nat: 用于设置地址转换 设置 prerouting 、output 、postrouting。Prerouting是做DNAT（目标地址转换）的，例如外界访问内网服务器。Postrouting 是做SNAT（源地址转换）的，例如内网通过防火墙NAT访问internet，现转发后修改源地址。Output 是防火墙本身要访问外网需要做DNAT时用，因为防火墙本身发送数据包不经过postrouting链了，为了实现目标地址转换添加了Output链。(注:nat表里的output链和filter表里的output链不一样。)

mangle：用于设置网络流量整形等应用

Iptables配置文件与策略设置文件

配置文件 /etc/sysconfig/iptables-config

策略设置文件 /etc/sysconfig/iptables

Iptables常用命令：

Iptables-save：将当前系统中的防火墙设置进行保存，直接保存到规则文件中iptables-save > /etc/sysconfig/iptables 等价于 /etc/inid.d/iptables save

Iptables-restore：将使用iptables-save保存的防火墙策略恢复到当前系统

Iptables-restore < ipt.v1.0（备份策略文件）

策略规则语法

Iptables [-t 要操作的表]

<操作命令>

[要操作的链]

[规则号码]

[匹配条件]

[-j 匹配到以后的动作]

针对链的操作有：

-L 列出链中的所有规则 如果不加表名默认显示filter表中的链（INPUT、FORWARD、OUPUT）

-F 清除链中的所有规则

-P 设置链的默认动作 ACCEPT REJECT DROP......

-Z 计数器清零

-N 定义一个新的规则链

-X 删除自定义的规则链

针对规则的操作有：（注意：越复杂的规则就越放在最前面）

-A 追加一个规则 （追加就是放在最后）

-I 插入一个规则

-D 删除一个规则

Iptables实例：

#Iptables -F //默认清空fielter表中的所有规则（暂时的）

#Iptables -t nat -F //清空nat表中的所有规则

#Iptables [-t table] -X [chain] //删除自定义规则链

Iptables [-t table] -A chain rule-specification [options]（不指定表，默认操作filter表中的规则链）

#iptables -A INPUT -i lo -j ACCEPT //在filter表INPUT链中添加规则允许来自"lo"网络接口中所有数据包。

#iptable -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT //在filter表INPUT链中追加规则，允许"eth0"接口中来自192.168.1.0/14网段的数据包。即允许此网段访问防火墙本机。

Iptables -A INPUT -p tcp --dport 80 -j ACCEPT //允许访问tcp 80号端口的数据包

书写规则：

网络接口lo的处理

状态监测的处理

协议+端口的处理

实例1：一个安装有iptables防火墙的web服务器

Iptables -A INPUT -i lo -j ACCEPT //允许本地回环

Iptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPT // 允许访问22,80号端口，即开放ssh和http

Iptables -A INPUT -p tcp -m state --state RELATED, ESTABLISHED -j ACCEPT // 对已经建立RELATED, ESTABLISHED状态的连接，允许

Iptables -P INPUT DROP //不符合以上规则的数据包丢弃

实例2: 一个典型iptables配置脚本

#!/bin/sh

Iptables -F //清除链中的所有规则

Iptables -X //删除自定义的规则链

Iptables -Z //计数器清零

Iptables -P INPUT DROP //默认动作丢弃，也就是检查数据包的最后一条规则

Iptables -A INPUT -i lo -j ACCEPT //允许本地回环

Iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT //允许ssh

Iptables -A INPUT -i eth0 -p tcp --dport 88 -j ACCEPT //允许http

Iptables-save //保存产生/etc/sysconfig/iptables 策略文件

设置linux作为网关服务器（类似于家用路由器）

配置需求

·服务器网卡接口eth0的ip地址为192.168.1.1/24，eth0网络接口与公司内网连接

·服务器的网络接口ppp0是主机的拨号网络接口，具有公网ip地址

·局域网中的所有主机都需要通过linux网关服务器与外部互联网进行通信

关键配置命令：

#iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE(伪装的意思) //源地址转换，在POSTROUTING链上做,把源地址换成ppp0端口地址。

SNAT源地址转换典型事例

#iptables -t nat -A POSTROTING -s 192.168.6.0/24 -j SNAT --to 192.168.6.200

//在POSTROUTING做源地址转换把源地址192.168.6.0/24网段改成192.168.6.200

DNAT目标地址转换实例

#iptables -t nat -A PREROUTING -d 192.168.106.200 -p tcp --dport 80 -j DNAT --to 192.168.156.200:80

将访问目标地址为192.168.106.200的80端口的数据包，目标地址转换成192.168.6.200:80端口。