一、 netfilter/iptables

1、规则表：

filter：INPUT、OUTPUT、FORWARD

nat：PREROUTING、POSTROUTING、OUTPUT

mangle ：PREROUTING、POSTROUTING、FORWARD、INPUT、OUTPUT

raw：OUTPUT、PREROUTING

2、 数据包过滤匹配流程

规则表优先顺序：raw、mangle、nat、filter

各规则间的优先顺序：按顺序匹配处理，有匹配项并处理后，不再继续查找（除LOG记录日志外），均不匹配，按默认规则处理

二、 管理和设置iptables规则

1、 iptables  [-t  表名]  命令选项  [链名]  [条件匹配]  [-j  目标动作或跳转]

iptables    [-t  表名]    命令选项       [链名]        [条件匹配]  [-j  目标动作或跳转]

-tfilter-A  INPUT     通用条件匹配-jDROP

-tnat-D  OUTPUT-p  icmp/tcp/udp-jACCEPT

-tmangle-I  FORWARD-s10.0.0.0/8-jREJECT

-traw-L  PREROUTING-d20.0.0.10-jLOG

-F  POSTROUTING 隐含条件匹配-jSNAT

-X--dport  22-jDNAT

-N--sport20:1024-jREDIRECT

-ntcp标记匹配

-v--tcp-flags[！]SYN,RST,ACK  SYN

-VICMP类型匹配

-h--icmp-typeEcho-Request

-P--icmp-typeEcho-Reply

--line-numbers--icmp-typedestination-Unreachable

显式条件匹配

-mmac --mac-source

-m   multiport  --dport  20,21,25

-m   iprange --src-range  10.0.0.10-10.0.0.100

-mstate  --state  NEW

-mstate  --state  ESTABLISHED,RELATED

-m   limit  --limit  3/minute  --limit-burst  8  -j  LOG

 

2、 导出、导入防火墙规则

iptables-save>  /etc/sysconfig/iptables

iptables-restore  <  /ec/sysconfig/iptables

 

本文出自 “我的IT之路” 博客，请务必保留此出处http://webcwb.blog.51cto.com/5096376/1175729