iptables学习记录

一.四表

filter 表：
主要用于控制数据包的过滤，决定数据包是否允许进出及转发 。比如设置规则允许特定 IP 访问服务器的 SSH 端口（22 端口），或禁止某些 IP 访问网站端口（80 或 443 端口 ）。可作用于 INPUT、OUTPUT、FORWARD 链。

nat 表：
即 Network Address Translation（网络地址转换）表，负责处理数据包中的地址转换，如源地址转换（SNAT）和目标地址转换（DNAT） 。比如局域网内设备共享公网 IP 上网，就需要用到 NAT 转换。可作用于 PREROUTING、INPUT、OUTPUT、POSTROUTING 链。

mangle 表：
用于修改数据包的原数据，比如修改 IP 头中的 TOS（Type of Service，服务类型）字段等 。一般用于一些对数据包有特殊标记、修改需求的场景。可作用于 PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING 链。

raw 表：
主要控制 nat 表中连接追踪机制的启用状况 ，比如通过设置可以让某些连接不被连接跟踪机制处理。可作用于 PREROUTING、OUTPUT 链。

二.五链

PREROUTING（路由前）：
在数据包进入路由决策之前进行处理，当外部数据包进入本机时，首先会经过此链。可在此链上设置规则对进入的数据包进行地址转换等操作 。

INPUT（数据包流入口）：
处理进入本机的数据包，比如设置规则允许或拒绝哪些外部请求进入本机的特定端口 。

FORWARD（转发关卡）：
当数据包需要经过本机转发到其他设备时（如路由器场景），会经过此链 。比如局域网内的网关服务器转发数据包到互联网时，就会用到此链规则。

OUTPUT（数据包出口）：
处理本机发出的数据包，可在此设置规则控制本机发出的数据包的走向等 。

POSTROUTING（路由后）：
在数据包完成路由决策，即将离开本机时进行处理，常用于源地址转换（SNAT），如将局域网内不同 IP 转换为统一的公网 IP 发出 。

1.安装systemctl 管理iptables启动

dnf install iptables-services

2.系统启动时自动加载这些 iptables 相关内核模块

 cat >> /etc/rc.local<<EOF
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_nat_state
EOF

核心掌握:

实操: