iptables===============表:filter:通用的过滤功能,包括输入、转发、输出。默认选项nat:用于地址转换,映射,端口映射等,包括prerouting,postroutingmangle:用于修改具体的包,包括prerouting,output,forward,input,postroutingraw:一般是不再让iptables做数据包的连接跟踪处理提高性能,包括prerouting,output===============子命令:chainmanagement-N:new,自定义一个新的规则链-X:delete,deletefromDefinedemptyrulechain-P:策略,设置默认策略;对于过滤表中的链,默认策略为:ACCEPT:接受,DROP:丢弃查看-L:list,列出指定链上的所有规则,该选项必须放在-n:numberic之后,显示地址和端口号innumericformatRulemanagement:-A:append,append-I:insert,插入,指定插入规则的编号,默认为第一个。-D:删除,删除。(1)指定规则号,(2)指定规则本身-R:replace,替换指定链上的指定规则号-F:flush,清除指定规则链-Z:zero,置零==============Chain:INPUT(policyACCEPT)FORWARD(policyDROP)OUTPUT(policyACCEPT)PREROUTING传入数据包进入路由表之前POSTROUTING传出数据包到达网卡之前exit==============Match-s,--sourceaddress/mask:源IP地址或range-d,--destinationaddress/mask:目标IP地址或range-p,--protocolprotocol:指定的协议,protocol:tcp,udp,icmp-i,--in-interfacename:消息流入的接口;只能应用于数据报文的流入链路,只能应用于INPUT,FORWARD,PREROUTINGchain-o,--out-interfacename:报文流出的接口;只能应用于数据报文的流出链路,并且只应用于OUTPUT、FORWARD、POSTROUTING链message,可以是一个端口范围--destination-port,--dportport[:port]:匹配消息的目的端口,可以是一个范围--tcp-flagsmaskcomp:标志位列表通过掩码检查,以逗号分隔,如SYN,ACK,FIN,RST,PSH,URG,ALL,NONE.comp必须是掩码列表中的标志列表,必须为1,如果不指定,则必须为0,逗号分隔==============Target-jtargetname[per-target-options]:简单跳转目标:ACCEPTDROPextension:REJECT:显式拒绝,默认RETURN:返回调用chainREDIRECT:端口重定向LOG:记录日志,dmesgMARK:使防火墙标记为D。NAT:目的地址转换SNAT:源地址转换MASQUERADE:地址伪装查看当前iptables-jREDIRECT--to-ports8080iptables-tnat-DPREROUTING-s192.168.250.0/32-ptcp--dport80-jREDIRECT--to-ports8080远程端口转发iptables-tnat-APREROUTING-s192.168.250.0/32-ptcp--dport81-jDNAT--to192.168.250.132:8081iptables-tnat-DPREROUTING-s192.168.250.0/32-ptcp--dport81-jDNAT--to192.168.250.132:8081将规则保存到配置文件中cp/etc/sysconfig/iptables/etc/sysconfig/iptables.bak#修改前备份,请保持这个好习惯iptables-save>/etc/sysconfig/iptablescat/etc/sysconfig/iptables
